ウイルスデータベース
2018年5月31日
株式会社Doctor Web Pacific
2018年5月、Doctor Webのスペシャリストはトロイの木馬 Android.Click.248.origin を含んだGoogle Playアプリケーションを複数発見しました。このトロイの木馬は偽のWebサイトを読み込み、そこでユーザーを高額なモバイルサービスに登録させます。また、人気のソフトウェアプログラムを装って拡散されていた悪意のあるプログラム Android.FakeApp もGoogle Play上で検出されています。この悪意のあるプログラムはサイバー犯罪者の指示に従ってリンクを辿り、Webサイトへのトラフィックを増加させます。そのほかGoogle Play上で発見された脅威に、 Android.HiddenAds ファミリーに属するトロイの木馬があります。これらトロイの木馬は広告を表示するよう設計されています。さらに5月には、サイバースパイ行為に使用されていたトロイの木馬 Android.Spy.456.origin と Android.Spy.457.origin も発見されています。5月下旬には、新たな商用スパイウェアプログラム Program.OneSpy のシグネチャがDr.Webウイルスデータベースに追加されました。
5月の主な傾向
- Google Play上でさらに多くのトロイの木馬を検出
- Androidスパイウェアの新たなバージョンを発見
5月のモバイル脅威
5月、Doctor WebのスペシャリストはGoogle Play上でトロイの木馬 Android.Click.248.origin を検出しました。このトロイの木馬はSkypeやAlisa(実際には個別のアプリとしては提供されていないYandex音声アシスタント)などの人気のプログラムを装って拡散されていました。
このトロイの木馬は偽のWebサイトを読み込み、そこでユーザーを騙して有料コンテンツサービスに登録させます。この脅威に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.HiddenAds.210.origin
- Android.HiddenAds.222.origin
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.SmsSend.1338.origin
- 有料番号に対してSMSメッセージを送信する悪意のあるプログラムです。
- Android.Mobifun.4
- 別のAndroidアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.Xiny.1403
- 別の悪意のあるアプリケーションを密かにダウンロード・インストールするよう設計されたトロイの木馬です。
- Adware.Adtiming.1.origin
- Adware.Jiubang.2
- Adware.Adpush.601
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
- Tool.SilentInstaller.1.origin
- Tool.SilentInstaller.6.origin
- ユーザーの介入なしに密かにアプリケーションを起動するよう設計されたリスクウェアです。
GOOGLE PLAY上の脅威
5月、Doctor Webのスペシャリストは人気のアプリケーションを装って拡散されていた Android.FakeApp をGoogle Play上で発見しました。 Android.FakeApp はサイバー犯罪者のコマンドに従って、指定されたリンクをクリックしてWebサイトを読み込むことでそこへのアクセス数を増加させます
このトロイの木馬は次のような特徴を持っています。
- シンプルなAndroidプログラムを簡単な手順で作成することを可能にするAppsGeyserサービスを使用して作成されています。
- 人気のアプリケーションを装って拡散されています。
- 便利な機能は一切含まれていません。
- トロイの木馬をGoogle Play上で配信していた7名の開発者が明らかになっています。
以下は、Google Play上で発見された偽のアプリケーションの例です。
また、5月には Android.HiddenAds.267.origin や Android.HiddenAds.277.origin など、トロイの木馬ファミリー Android.HiddenAds の新たな亜種が発見されました。これらの悪意のあるプログラムは、人気のある無害なアプリケーションを装って拡散されていました。このトロイの木馬の主な機能は広告を表示させるというものです。
サイバースパイ
5月には、サイバー犯罪者がサイバースパイ行為に使用していた新たなAndroidトロイの木馬が複数、セキュリティリサーチャーによって発見されました。そのうちの1つはGoogle Playから拡散されており、 Android.Spy.456.origin と名付けられました。この悪意のあるプログラムは、感染したデバイスの連絡先リストから写真やSMSメッセージ、連絡先を盗み、それらをサイバー犯罪者の所有するリモートサーバーにロードします。5月に発見されたまた別のスパイウェアは Android.Spy.457.origin としてDr.Webのウイルスデータベースに追加されました。このスパイウェアはAndroidスマートフォンやタブレットのメモリ内に保存された画像や動画を盗み、モバイルデバイスの位置情報を追跡し、SMSメッセージを盗み、周囲の音声を盗聴し、通話を録音することができます。
5月下旬、Doctor Webのスペシャリストは商用スパイウェアプログラムOnespyの新たなバージョンを発見し、このプログラムは Program.Onespy.3.origin と名付けられました。 Program.Onespy.3.origin はSMSメッセージや通話を横取りし、感染したデバイスの位置を追跡し、周囲の音声を盗聴し、写真、動画、文書ならびにその他のファイルを盗み、 Skype、 Viber、 WhatsApp、 Line、 Facebookなどの一般的なメッセンジャーでのやり取りを追跡するほか、それ以外の悪意のある動作を実行することもできます。
Google社による取り組みの甲斐なく、Google Playからは依然としてAndroid向けトロイの木馬が拡散され続けています。また、モバイルデバイスを標的とする悪意のあるプログラムや潜在的に危険なプログラムはGoogle Play以外の場所にも潜んでいます。お使いのスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
14.05 Doctor Web、スパイ行為を行うトロイの木馬について調査を行い、 その作成者を特定
2018年5月14日
株式会社Doctor Web Pacific
Doctor WebのスペシャリストはYouTube動画のコメント内に貼られたリンクから拡散されていた Trojan.PWS.Stealer.23012 の複数の新たな亜種について調査を行いました。動画は、コンピューターゲームの操作を簡単にする、いわゆるチートやトレーナーと呼ばれる特殊なプログラムの使用に関するものです。サイバー犯罪者は動画に対して偽のアカウントからコメントを書き込んで Yandex.Disk へのリンクを貼り、それらのプログラムを装ってトロイの木馬を拡散させていました。この悪意のあるリンクはTwitter上でも広く宣伝されています。
この度調査の対象となったスパイウェアの亜種は全てPythonで書かれ、 py2exeを使用して実行ファイルに変換されていました。 Trojan.PWS.Stealer.23370 と名付けられた新たな亜種の1つは、感染したデバイスのディスクをスキャンし、 Chromiumベースのブラウザの保存されたパスワードとCookieファイルを探します。また、このトロイの木馬は Telegram、 FileZilla FTPクライアントから情報を盗み、事前に指定されたリストに従って画像やOffice文書をコピーします。収集されたデータはアーカイブにパックされ、 Yandex.Disk に保存されます。
Trojan.PWS.Stealer.23700 と名付けられたまた別の亜種は Google Chrome、 Opera、 Yandex.Browser、 Vivaldi、 Kometa、 Orbitum、 Comodo、 Amigo、 Torchからパスワードと Cookie ファイルを盗みます。このスパイウェアは SSFN ファイルと Telegram アカウントへのアクセスに必要なその他のデータを Steam の config サブフォルダからコピーするほか、 Windows Desktop上に保存された画像や文書のコピーを作成します。盗まれた全ての情報はアーカイブにパックされ、クラウドストレージである pCloud 上にロードされます。
3つ目の亜種は Trojan.PWS.Stealer.23732 と名付けられました。このトロイの木馬のドロッパーはAutoitで書かれており、ディスク上に複数のアプリケーションを保存してそれらを起動させます。これらのアプリケーションはトロイの木馬のコンポーネントです。そのうちの1つはスパイウェアモジュールで、これまでのバージョンと同様Pythonで書かれ、実行ファイルに変換されています。このモジュールは感染したデバイスから情報を盗みます。その他のコンポーネントはGoで書かれ、そのうちの1つがブラウザのインストールされているフォルダを探すためにディスクをスキャンし、また別の1つが盗んだデータをアーカイブにパックして pCloud ストレージ上にロードします。
この亜種をウイルス作成者から購入したサイバー犯罪者は、その拡散に独創的な手法を用いています。テーマを持った Telegram チャンネルの管理者と接触し、自分たちが開発したとする新しいプログラムについて投稿を行い、そのプログラムを試すよう持ち掛けたのです。サイバー犯罪者によると、このプログラムによって1台のコンピューター上で複数の Telegram アカウントに同時に接続することができるということですが、実際には、被害者は便利なアプリケーションを装ったスパイウェア型トロイの木馬をダウンロードするよう促されます。
ウイルスアナリストは、これらスパイウェア型トロイの木馬のコード内に含まれた情報から、その作成者を特定することに成功しました。ウイルス作成者は 「Yenot Pogromist」 という偽名を使用し、トロイの木馬を開発するだけでなく、一般的なWebサイト上でそれらの販売も行っていました。
このスパイウェア作成者は、悪意のあるソフトウェアの開発に関するYouTubeチャンネルを持っています。さらに、自身のGitHubページを持ち、このページ上に自分の開発した悪意のあるプログラムのソースコードを投稿しています。
Doctor Webのスペシャリストはオープンソースのデータを分析し、トロイの木馬の開発者の複数のメールアドレスと、違法行為に使用されていた Telegram アカウントの設定に使われている携帯電話番号を特定しました。そのほかにも、ウイルス作成者が悪意のあるプログラムの拡散に使用していた複数のドメインを明らかにし、彼らの居住する市を特定することに成功しています。以下の画像は、「Yenot Pogromist」とこの人物の使用するテクニカルリソースとの繋がりの一部を表したものです。
盗まれたファイルの保存先となるクラウドストレージのログイン認証情報はトロイの木馬の本体に組み込まれていました。このことが、悪意のあるソフトウェアを購入した 「Yenot Pogromist」 の全てのクライアントの特定を容易にし、そのほとんどがロシアとウクライナの住民であるということが明らかになりました。一部のクライアントが使用しているメールアドレスは、それらによってソーシャルネットワーク上の彼らのページを容易に見つけることができるようなものであり、Doctor Webのスペシャリストは 「Yenot Pogromist」 のクライアントの多くがアンダーグラウンドフォーラムで売られている別のスパイウェアも使用しているということを突き止めました。また、中には、自身のコンピューター上で、恐らくはその動作を評価するために、スパイウェアを起動させたクライアントもいるということは言及に値するでしょう。その結果、彼らの個人的なファイルはクラウドストレージ上にロードされ、あらゆるセキュリティリサーチャーがトロイの木馬の本体から彼らのアクセスデータを労せずして取得することができるようになりました。
これらクライアントの方々には、悪意のあるプログラムを使用・配布することはロシア連邦刑法典第273条に基づき4年以下の懲役に処せられる可能性のある犯罪であるということを心に銘記していただきたいと思います。スパイ行為を行うトロイの木馬の購入者やユーザーもまた、ロシア連邦刑法典第272条「コンピューター上の情報への不正アクセス」の対象となります。
#viruswriter #Trojan #malicious_software
26.04 Doctor Web : 見えない広告を使用してウイルス作成者に収益をもたらす、Google Play上のAndroidトロイの木馬
2018年4月26日
株式会社Doctor Web Pacific
Android.RemoteCode.152.origin は、2017年より知られているトロイの木馬 Android.RemoteCode.106.origin の新しいバージョンです。Doctor Webでは Android.RemoteCode.106.origin について11月に記事を発表しています。この悪意のあるプログラムはソフトウェアモジュールであり、ソフトウェア開発者が自分たちのアプリケーション内に埋め込んでGoogle Play経由で拡散していました。 Android.RemoteCode.106.origin の主な機能は、広告Webページをダウンロードしてそこにあるバナーをクリックするよう設計されている、補助プラグインを密かにダウンロード・起動することです。 Android.RemoteCode.106.origin の新しいバージョンも同様の動作を行います。
トロイの木馬が埋め込まれたアプリケーションが初めて起動された後、 Android.RemoteCode.152.origin は一定の間隔で自動的に動作を開始し、デバイスの再起動後に自動的に起動します。したがって、 Android.RemoteCode.152.origin が動作するために、モバイルデバイスのユーザーが感染したアプリケーションを絶えず使用する必要はありません。
この悪意のあるプログラムは起動時に管理サーバーからトロイの木馬のモジュールの1つ (Android.Click.249.origin としてDr. Webのウイルスデータベースに追加されています) をダウンロードし、起動させます。このコンポーネントは、アプリケーションを収益化するよう設計された MobFox SDK広告プラットフォームをベースにした、また別のモジュールをダウンロードして起動させます。これを使用して、トロイの木馬は様々な広告やバナーを密かに作成し、それらをクリックすることでウイルス作成者に収益をもたらします。また、 Android.RemoteCode.152.origin はモバイルマーケティングプラットフォーム AppLovin に接続し、さらなる収益を得るために同じく広告をダウンロードします。
Doctor Webのウイルスアナリストによって、このトロイの木馬の埋め込まれたアプリケーションが複数、Google Play上で発見されています。それらはすべてゲームアプリで、ダウンロード数は合計で650万件を超えています。Doctor Webは発見したプログラムについてGoogle社に報告を行い、本記事掲載時点でいくつかのアプリケーションがGoogle Playから削除されています。また、一部のアプリケーションでは、悪意のあるモジュールの削除されたアップデートがリリースされています。
Android.RemoteCode.152.origin は、次のプログラムで発見されています。
- Beauty Salon - Dress Up Game、バージョン5.0.8
- Fashion Story - Dress Up Game、バージョン5.0.0
- Princess Salon - Dress Up Sophie、バージョン5.0.1
- Horror game - Scary movie quest、バージョン1.9
- Escape from the terrible dead、バージョン1.9.15
- Home Rat simulator、バージョン2.0.5
- Street Fashion Girls - Dress Up Game、バージョン6.07
- Unicorn Coloring Book、バージョン134
Doctor Webのスペシャリストによるさらなる分析の結果、そのほかにも、すでにGoogle Playから削除されている、 Android.RemoteCode.152.origin を含んだ複数のアプリケーションが特定されています。
- Subwater Subnautica、バージョン1.7
- Quiet, Death! 、バージョン1.1
- Simulator Survival、バージョン0.7
- Five Nigts Survive at Freddy Pizzeria Simulator、バージョン12
- Hello Evil Neighbor 3D、バージョン2.24
- The Spire for Slay、バージョン1.0
- Jumping Beasts of Gang、バージョン1.9
- Deep Survival、バージョン1.12
- Lost in the Forest、バージョン1.7
- Happy Neighbor Wheels、バージョン1.41
- Subwater Survival Simulator、バージョン1.15
- Animal Beasts、バージョン1.20
以下の画像は、 Android.RemoteCode.152.origin の埋め込まれたソフトウェアの例です。
モバイルデバイスが悪意のあるプログラムや不要なプログラムに感染するリスクを減らすため、Doctor Webでは既知の信頼できる開発者によるアプリケーションのみをインストールすることを推奨しています。Android向けのDr.Webアンチウイルス製品は、 Android.RemoteCode.152.origin の既知の亜種をすべて検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
[Android.RemoteCode.152.originの詳細]
#Android, #Google_Play, #ad_software, #Trojan
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
16.04 Doctor Web、ファイルを復号化することのできないトロイの木馬を検出
2018年4月16日
株式会社Doctor Web Pacific
この新たな暗号化トロイの木馬は Trojan.Encoder.25129 と名付けられました。Dr.Webアンチウイルスの予防的保護は、このトロイの木馬を自動的に DPH:Trojan.Encoder.9 として検出します。起動されると、 Trojan.Encoder.25129 は感染したデバイスのIPアドレスに基づいてユーザーの所在地を確認します。このトロイの木馬は、デバイスがロシア、ベラルーシ、カザフスタンにある場合、またはシステムの言語や地域の設定でロシア語やロシアが設定されている場合にはファイルを暗号化しないよう設計されています。しかしながら、コードのエラーにより、このエンコーダーはIPアドレスの所在地に関係なくすべてのファイルを暗号化します。
Trojan.Encoder.25129 はカレントユーザーのフォルダ、 Windows デスクトップ、 AppDataおよび LocalAppData システムフォルダのコンテンツを暗号化します。暗号化は AES-256-CBC アルゴリズムを使用して行われ、暗号化されたファイルには拡張子「.tron」が付きます。 30,000,000バイト(約28.6MB)を超えるファイルは暗号化されません。暗号化が完了すると、 %ProgramData%\\trig ファイルが作成され、そこに「123」の値が書き込まれます(このファイルがすでに存在している場合、暗号化は行われません)。次に、トロイの木馬はWebサイト iplogger にリクエストを送信します。サイトのアドレスはトロイの木馬本体にハードコードされています。続けて、 Trojan.Encoder.25129 は身代金を要求するウィンドウを表示させます。
身代金の要求額は0.007305~0.04ビットコインと、異なります。「HOW TO BUY BITCOIN」ボタンをクリックすると、仮想通貨ビットコインを購入する方法について説明するウィンドウがトロイの木馬によって表示されます。
身代金を要求するテキストには、被害者は暗号化されたファイルを復元することができると記載されていますが、コードのエラーにより、多くの場合、復元することは不可能です。
このトロイの木馬は、Dr.Web製品の予防的保護によって検出・削除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。また、Doctor Webでは、重要なデータのバックアップをタイムリーに取ることをお勧めしています。
データ損失防止を使用してファイルを暗号化ランサムウェアから保護しましょう
| 暗号化ランサムウェアからの保護設定 (英語) | 被害に遭った場合は... | 復号化サービス | The Anti-virus Times (英語) "Encrypt everything" |
16.04 Doctor Web : ユーザーを有料サービスに登録させる、Google Play上のトロイの木馬
2018年4月16日
株式会社Doctor Web Pacific
サイバー犯罪者は開発者Roman Zencovを名乗り、人気のアプリケーションを装って Android.Click.245.origin を配布していました。それらの中には、まだAndroid版のリリースされていないゲームMiraculous Ladybug & Cat Noir、春先に有名になった、電話を発信し電話番号を保存するアプリGetContact、Yandexアプリケーションに組み込まれていて個別のアプリとしては提供されていない音声AIアシスタントAliceなどがあります。トロイの木馬を含んだプログラムの1つは、Google Play上の新しい人気アプリ上位30にランクインしています。
Doctor Webは Android.Click.245.origin についてGoogle社に報告を行い、このトロイの木馬はGoogle Playから削除されましたが、2万を超えるユーザーが偽のアプリケーションをダウンロードしています。これらのプログラムはいずれもユーザーの期待する機能を持っていません。その唯一の目的はサイバー犯罪者のコマンドに従ってWebページを読み込むということです。
以下の画像は、Google Play上で発見された悪意のあるアプリケーションのページです。
起動されると、 Android.Click.245.origin はC&Cサーバーとの接続を確立し、サーバーからのタスクを待ちます。次に、感染させたデバイスのIPアドレスに応じて、読み込むべき特定のWebサイトへのリンクを取得します。 Android.Click.245.origin はこのリンクを辿り、WebViewを使用して特定のページを表示させます。デバイスがWi-Fi経由でインターネットに接続している場合、ユーザーは該当するボタンをクリックすることでアプリケーションをダウンロードするよう促されます。例えば、ユーザーが偽の音声AIアシスタントAliceを起動した場合、ダウンロードされるのは「Alice Yandex.apk」ファイルです。
ユーザーがファイルをダウンロードしようとすると、認証目的やダウンロードを確定するためという名目で、電話番号を入力するよう求められます。電話番号を入力したユーザーは、「ダウンロード」を完了するためにWebサイト上で入力しなくてはならない確認コードを受け取ります。ところが、ユーザーは目的のプログラムを入手する代わりに有料サービスに登録されてしまいます。
感染させたデバイスがモバイル通信経由でインターネットに接続している場合、トロイの木馬によって開かれたWebサイトはいくつかのリダイレクトを行い、その後、Google ChromeでWebサイトが表示されます。このページで、ユーザーは「Continue(続ける)」をクリックしてファイルをダウンロードするよう促され、ダウンロードが開始される別のサイトへとリダイレクトされます。「Start download(ダウロードを開始する)」をクリックしたユーザーは、 Wap-Clickテクノロジーを使用して高額なサービスに自動的に登録され、毎日使用料が引き落とされることになります。また、そのようなサービスへは、電話番号やSMSで受け取る確認コードの入力無しにアクセスすることができます。
タスクを受け取らなかった場合、トロイの木馬はインターネットから複数の写真をダウンロードし、それらを画面上に表示させます。
不要なサービスにユーザーを登録させる方法は、サイバー犯罪者にとって最も一般的かつ良く知られた不正な収益源となっています。中でも特に、Wap-Clickを使用したそのような高額サービスへの登録は、登録についてユーザーに知らせることがなく、悪徳なコンテンツプロバイダによって使用されることが多いことから、非常に危険です。
お金を失うことを防ぐため、スマートフォンやタブレットのユーザーはWebサイトを閲覧する際は慎重になり、疑わしいリンクやボタンをクリックしないようにしてください。また、良く知られた信頼できる開発者によって配信されているソフトウェアのみをインストールするようにし、アンチウイルスを使用することをお勧めします。
Dr.Web for Androidは Android.Click.245.origin の既知の亜種をすべて検出します。したがって、Dr.Webのユーザーに危害が及ぶことはありません。
#Android, #Google_Play, #mobile, #paid_subscription, #fraud
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
05.04 Doctor Web : Sberbank顧客の7,800万ルーブル以上が脅威にさらされる
2018年4月5日
株式会社Doctor Web Pacific
この Android.BankBot.358.origin は2015年よりDoctor Webに知られています。ウイルスアナリストは、 Sberbankのロシアの顧客を攻撃するよう設計された Android.BankBot.358.origin の新たな亜種が、すでに6万をこえるモバイルデバイスを感染させているものと見ています。ウイルス作成者はこの悪意のあるアプリケーションの複数の異なるバージョンを拡散させていることから、その被害者の数は大幅に増加する可能性があります。サイバー犯罪者が感染したデバイスの銀行口座から盗むことのできる総額は7,800万ルーブルを超えます。さらに、サイバー犯罪者は携帯電話のアカウントから270万ルーブルを盗むことができます。
以下の画像は、感染したデバイスに関する情報と検出されたボットネットの1つに関する統計を含んだ Android.BankBot.358.origin の管理パネルのセクションです。
このバンキング型トロイの木馬は、サイバー犯罪者および悪意のあるプログラム自体の両方から送信される偽のSMSメッセージ経由で拡散されています。メッセージの多くは Avito.ru ユーザーからのものを装って送信されています。これらのSMSメッセージは、ユーザーに対し、リンクを辿り、投稿した広告に対するレスポンスを読むよう提案するものです。例えば、「Good day, are you interested in an exchange? (こんにちは、取引しませんか?)」という文章が多く使用されています。また、モバイルデバイスユーザーは、ローンやモバイル送金、銀行口座への送金に関する偽の通知を受け取る場合もあります。以下は、トロイの木馬のサーバーの管理パネルで設定され、サイバー犯罪者のコマンドに応じて送信されたフィッシングメッセージの例です。
ユーザーがメッセージのリンクを辿ると、サイバー犯罪者のWebサイトに飛ばされ、そこからモバイルデバイス上に悪意のあるAPKファイルがダウンロードされます。ダウンロード後にトロイの木馬がインストールされる可能性を向上させるため、サイバー犯罪者は Android.BankBot.358.origin に実際のAvitoラベルを使用することで信憑性を高めています。このトロイの木馬の一部の亜種は、Visaやウエスタンユニオン決済システムを使用するためのソフトウェアなどの他のプログラムとして拡散される場合があります。
Android.BankBot.358.origin は初回起動時にデバイス管理者権限へのアクセスを要求します。この要求は、ユーザーが諦めて求められるすべての権限を許可するまでしつこく続けられます。必要なすべての特権を取得した後、トロイの木馬はインストールエラーに関する偽のメッセージを表示し、ホーム画面上のプログラムのリストから自身のアイコンを削除します。こうして Android.BankBot.358.origin はスマートフォンやタブレット上で自身の存在を隠そうと試みます。ユーザーが管理者のリストからトロイの木馬を削除しようとすると、 Android.BankBot.358.origin はセルフプロテクション機能を有効にし、システム設定の該当するウィンドウを閉じます。また、トロイの木馬の一部のバージョンは、独自のロック画面PINコードを追加でインストールします。
デバイスを感染させた後、 Android.BankBot.358.origin はC&Cサーバーとの接続を確立し、感染が成功した旨を通知して、その後の指示を待ちます。このトロイの木馬の主な目的はロシア語圏の Sberbankの顧客から金銭を盗むことで、その主要な攻撃ベクターはフィッシングです。サイバー犯罪者は、偽のメッセージを含むウィンドウで感染したデバイスをブロックするためのコマンドをトロイの木馬に対して送信します。このウィンドウは、リモートバンキングならびに決済システムである Sberbank Onlineの外観を模倣し、 Sberbankやその他の金融機関の顧客であるかどうかに関係なく、すべてのユーザーに対して表示されます。メッセージの内容は、1万ルーブルの送金を受け取ることができると通知するものとなっています。お金を受け取るために、スマートフォンまたはタブレットのユーザーは、カード番号、名前、有効期限、CVVセキュリティコードなどのバンクカード情報を提供するよう促されます。さらに、この悪意のあるウィンドウは必要なすべてのデータを入力しない限り閉じることができず、デバイスはブロックされたままになります。そのため、ユーザーは「銀行口座への送金」を確定しなければならず、入力されたバンクカード情報はサイバー犯罪者に送信されます。その結果、犯罪者は被害者の銀行口座からすべての金銭を盗むことができるようになります。
ただし、本記事掲載時点において、このトロイの木馬の既存の亜種はバンクカード情報について完全なチェックを行っておらず、どのようなデータを入力してもブロックは解除されます。したがって、 Android.BankBot.358.origin の攻撃を受けたモバイルデバイスユーザーはフィッシングウィンドウを閉じ、アンチウイルスを使用してこの悪意のあるプログラムを削除することができます。その方法は、偽のフォームに16~18桁からなる任意のカード番号を入力し、2017年~2030年の間の有効期限を指定するというものです。絶対に、実際の Sberbankまたはその他のカードの情報を入力しないようにしてください。サイバー犯罪者が口座へのアクセスを取得してしまいます。
しかしながら、偽の情報が入力されたと気付いたウイルス作成者がスマートフォンやタブレットを再度ブロックするためのコマンドを送信することを防ぐことはできません。そのため、フィッシングウィンドウが閉じた後に、できるだけ早くアンチウイルスを使用してデバイスをスキャンし、トロイの木馬を削除する必要があります(ダウンロードはこちらから : https://download.drweb.co.jp/android/)。
ユーザーがモバイルバンキングサービスを使用している場合、 Android.BankBot.358.origin はそれを使用して被害者の口座から金銭を盗もうとします。トロイの木馬は、オンラインバンキングシステムで動作を実行するためのコマンドを含んだSMSメッセージを密かに送信します。その後、ユーザーの現在のカード残高を確認し、サイバー犯罪者の銀行口座またはモバイルアカウントに自動的に送金を行います。以下の画像は、リモートバンキングサービスを利用して金銭を盗む Android.BankBot.358.origin の例です。
さらなる収益を得るために、 Android.BankBot.358.origin の一部のバージョンでは、禁止されている動画を見たことに対する罰金を要求するメッセージを表示させることで、感染したデバイスをブロックすることができます。また、その悪意のある動作を隠すため、このトロイの木馬の複数の亜種は、システムアップデートのインストールに関する通知によって、感染したスマートフォンやタブレットの画面をブロックすることができます。
ウイルス作成者は、C&Cサーバーの管理パネルでウィンドウブロックのパラメータ(表示されるメッセージのテキスト、表示期間、および必要な身代金など)を設定することができます。以下は、コントロールパネルの該当するセクションの例です。
金銭を盗んだり、感染したデバイスをブロックする以外に、 Android.BankBot.358.origin は他の悪意のある動作も実行することができます。 Android.BankBot.358.origin はサイバーから受け取ったコマンドに応じて以下の動作を実行します。
- 自身を更新する
- 連絡先リストに含まれたすべての番号に対してSMSメッセージを送信する
- コマンド内で指定されたすべての番号に対してSMSメッセージを送信する
- サイバー犯罪者によって指定されたWebサイトを読み込む
- デバイス上に保存されたすべてのSMSメッセージをサーバーに送信する
- 連絡先リスト内の連絡先に関する情報を取得する
- 偽の受信SMSメッセージを作成する
Dr.Web for Androidは Android.BankBot.358.origin のすべての既知の亜種を検出します。そのため、Dr.Webユーザーに危害が及ぶことはありません。Doctor Webでは、 Android.BankBot.358.origin に関する情報をすでに Sberbankに提供しています。また、このトロイの木馬について引き続き監視を行っていきます。
#Android #banker #mobile #ransom #banking_Trojan
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
QRコードを使用してDr.Web Security Space for Androidをダウンロード
23.03 Doctor Web : YouTubeから拡散される新たなトロイの木馬
2018年3月23日
株式会社Doctor Web Pacific
Trojan.PWS.Stealer.23012 は、Microsoft Windows搭載コンピューターを感染させる、Pythonで書かれた悪意のあるプログラムです。このトロイの木馬の拡散は2018年3月23日に始まり、現在も続いています。サイバー犯罪者は悪意のあるプログラムへのリンクをYouTube動画に対するコメント内で公開しています。それら動画の多くは、特別なアプリケーションを使用した、ゲームでのチーティング方法 (いわゆる「チート行為」) に焦点を当てたものです。サイバー犯罪者はトロイの木馬をそのようなプログラムや便利なユーティリティとして拡散させようとしています。リンク先はYandex.Diskサーバーで、ユーザーにリンクをクリックさせるために、動画には偽のカウントを使用して書かれたコメントが含まれています。被害者がリンクをクリックしてしまうと、トロイの木馬を含んだ自己解凍形式のRARアーカイブがコンピューター上にダウンロードされます。
動画のコメントセクションに投稿された、悪意のあるファイルへのリンクの例
感染したコンピューター上で起動されると、 Trojan.PWS.Stealer.23012 は以下の情報を収集します。
- Vivaldi、 Chrome、 YandexBrowser、 Opera、 Kometa、 Orbitum、 Dragon、 Amigo、 Torchブラウザに保存されたCookie
- それらのブラウザに保存されたログイン/パスワード
- スクリーンショット
また、Windowsデスクトップから「.txt」、「.pdf」、「.jpg」、「.png」、「.xls」、「.doc」、「.docx」、「.sqlite」、「.db」、「.sqlite3」、「.bak」、「.sql」、「.xml」拡張子を持つファイルをコピーします。
Trojan.PWS.Stealer.23012 は、収集したすべての情報を C:/PG148892HQ8 フォルダに保存します。その後、すべてのデータが spam.zip アーカイブにパックされ、感染したデバイスの位置情報に関するデータと一緒にサイバー犯罪者のサーバーに送信されます。
Doctor Webのウイルスアナリストによって、このトロイの木馬の複数の亜種が発見されており、それらの一部は Trojan.PWS.Stealer.23198 として検出されます。Dr.Webアンチウイルス製品は Trojan.PWS.Stealer.23012 のすべての既知の亜種を検出することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
#cookies #malware #screenshot #Trojan
20.03 Doctor Web : サイバー犯罪者によって広く用いられるツールと化した バンキング型トロイの木馬 Android.BankBot.149.origin
2018年3月20日
株式会社Doctor Web Pacific
Android.BankBot.149.origin は典型的な一連の機能を持つバンキング型トロイの木馬として登場しました。様々な金融機関のオンラインバンキングシステムから口座のユーザー名とパスワードを盗むためのフィッシングウィンドウを表示させるほか、クレジットカードの情報を盗むことができ、また、送金確認のワンタイムパスワードにアクセスするために受信するSMSを横取りする機能を備えていました。このトロイの木馬のソースコードが一般に公開されると、ウイルス作成者たちはそれを基に、似たようなトロイの木馬を多数作成するようになりました。それと同時に、犯罪者がそれらトロイの木馬をGoogle Playから次々に拡散させました。そのようなバンキング型トロイの木馬には、無害で便利なアプリケーションを装って拡散されていた Android.BankBot.179.origin、 Android.BankBot.160.origin、 Android.BankBot.163.origin、 Android.BankBot.193.origin、 Android.Banker.202.originなどがあります。
Android.BankBot.250.origin としてDr.Webウイルスデータベースに追加されているトロイの木馬もまた、 Android.BankBot.149.origin のコードを使用して作成されたまた別のトロイの木馬です。Anubisとしても知られるこのトロイの木馬の最初のバージョンは2017年11月にDoctor Webのウイルスアナリストによって発見されました。これらの亜種は Android.BankBot.149.origin の機能をほぼ完ぺきにコピーしています。このバンキング型トロイの木馬は以下の動作を実行することができます:
- コマンドで指定された番号に対して、特定のテキストを含んだSMSメッセージを送信する
- USSDリクエストを実行する
- デバイス上に保存されたSMSメッセージのコピーを管理サーバーに送信する
- インストールされているアプリケーションに関する情報を受け取る
- コマンドで指定されたテキストを含むダイアログボックスを表示させる
- 追加の動作許可を要求する
- コマンドで指定された内容のプッシュ通知を表示させる
- トロイの木馬のコード内で設定されている内容のプッシュ通知を表示させる
- サーバーWebページから受け取ったコンテンツを表示させるデバイスウィンドウWebViewの画面をブロックする
- 連絡先リストにあるすべての番号をサーバーに送信する
- 連絡先リストにあるすべての番号に対してSMSメッセージを送信する
- デバイスとその現在位置に関する情報にアクセスする
- アクセシビリティ機能 (Accessibility Service) へのアクセスを要求する
- 感染させたスマートフォンやタブレットのIPアドレスを取得する
- 自身の設定ファイルをクリーンアップし、動作を停止する
以下の画像は、トロイの木馬 Android.BankBot.250.origin のコントロールパネルの一例です。
Android.BankBot.250.origin の新しいバージョンの登場に伴い、その機能は次第に拡張されていきました。 Android.BankBot.325.origin と名付けられたトロイの木馬には、感染したデバイスにリモートでアクセスする機能が備わっています。その結果、このバンキング型トロイの木馬はリモート管理ユーティリティまたはRAT (Remote Administration Tools:リモート管理ツール) として動作することができます。また、感染したスマートフォンやタブレットのメモリ内に保存されたファイルのリストを確認し、それらのファイルを管理サーバーにダウンロードしたり削除したりすることができるという機能のほか、画面上で起こっているすべてのことを監視し、スクリーンショットを作成してそれらを犯罪者に送信するという新たな機能が加わっています。さらに、 Android.BankBot.325.origin はウイルス作成者のコマンドに応じて内蔵マイクで周囲の音声を聞くことができます。そのため、サイバースパイ行為に使用される可能性があります。以下の画像は、トロイの木馬の管理サーバーの管理パネルのセクションです。このセクションで、犯罪者はトロイの木馬にコマンドを与えることができます。
バンキング型トロイの木馬の分析結果により、ウイルス作成者は、デスクトップシステムへのリモートアクセスシステムを表し、Virtual Network Computing (ヴァーチャル・ネットワーク・コンピューティング) の略語である「VNC」をメソッド名とコントロールコマンド内で使用しているということが示されていました。ところが、これは Android.BankBot.325.origin では導入されておらず、犯罪者はその名前を自分たちの便宜のためのみに使用しています。いずれにしても、サイバー犯罪者は感染したデバイスを遠隔操作する能力を身につけ始め、バンキング型トロイの木馬をより普遍的な悪意のあるアプリケーションへと変化させていると結論付けることができます。以下の画像は Android.BankBot.325.origin のコード片です。前述の略語が使用されています。
Doctor Webのウイルスアナリストによって調査された Android.BankBot.325.origin の最新の亜種の1つには、さらなる機能が追加されていました。以下は、そのリストです。
- コマンドで指定された番号に対して、特定のテキストを含んだSMSメッセージを送信する
- USSDリクエストを実行する
- アプリケーションを起動させる
- 管理サーバーのアドレスを変更する
- デバイス上に保存されたSMSメッセージのコピーを管理サーバーに送信する
- インストールされているアプリケーションに関する情報を受け取る
- キーボードで入力された文字を記録する (キーロガー)
- 追加の動作許可を要求する
- コマンドで指定されたテキストを含むダイアログボックスを表示させる
- コマンドで指定された内容のプッシュ通知を表示させる
- トロイの木馬のコード内で設定されている内容のプッシュ通知を表示させる
- 連絡先リストにあるすべての番号をサーバーに送信する
- 連絡先リストにあるすべての番号に対してSMSメッセージを送信する
- サーバーWebページから受け取ったコンテンツを表示させるデバイスウィンドウWebViewの画面をブロックする
- アクセシビリティ機能 (Accessibility Service) へのアクセスを要求する
- 通話をリダイレクトする
- コマンドで指定されたWebサイトをブラウザで開く
- WebViewを使用してWebページへのリンクを開く
- ファイルを暗号化して身代金を要求する
- ファイルを復号化する
- デバイスのマイクを使用して周囲の音声を録音する
- デバイスとその現在位置に関する情報にアクセスする
- デバイスのIPアドレスを取得する
- 設定ファイルをクリーンアップし、トロイの木馬を停止させる
以下の画像は、犯罪者が管理パネルを介してバンキング型トロイの木馬に送信することのできるコマンドの一覧を示しています。
バンキング型トロイの木馬に対して送信されるコマンドのほとんどは同じパネル内で設定されます。たとえば、以下の画像はファイルの暗号化設定のものですが、ウイルス作成者は暗号化キー、 Android.BankBot.325.origin が被害者から要求する身代金の金額 (例:ビットコインで) 、送金のための e-wallet (イーウォレット) 番号を設定することができます。
同じパネル内で、サイバー犯罪者が必要とするアプリケーションをユーザーに起動させるための偽の通知を設定することができます。そのアプリケーションが起動されると、トロイの木馬はログインとパスワード、およびその他の機密情報を要求するフィッシングフォームを表示させ、それらの情報をウイルス作成者に送信します。
同様に、フィッシングウィンドウも追加のパラメータで設定されます。
Android.BankBot.325.origin は、バンキングサービス、決済システム、ソーシャルネットワークにアクセスするためのソフトウェアを含む、160を超えるプログラムの起動時に偽の認証フォームを表示させます。さらに、それらのプログラムには、仮想通貨を扱うための人気のアプリケーションが追加されています。 Android.BankBot.325.origin は、そのようなプログラムからログインとパスワードを盗もうと試みる最初のバンキング型トロイの木馬ではありませんが、本物のアプリケーションのインターフェースに似せたフィッシングウィンドウの外観を持っています。以下の画像は、そのような偽の認証フォームの例です。
ウイルスアナリストによると、ロシア、ウクライナ、トルコ、英国、ドイツ、フランス、米国、香港、ハンガリー、イスラエル、日本、ニュージーランド、ポーランド、ルーマニアのユーザーがこのトロイの木馬による攻撃を受けています。ただし、このリストには、サイバー犯罪者が興味を示した国が新たに加わっていく可能性があります。
Doctor Webのスペシャリストは、 Android.BankBot.325.origin の作成者は引き続きこのトロイの木馬の機能を向上させ続け、感染したスマートフォンやタブレットの遠隔操作に新たな機能を追加していくものと予測しています。新たなスパイ機能が追加される可能性があります。Dr.WebのAndroid向けアンチウイルス製品は、この悪意のあるアプリケーションのすべての既知の亜種を検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
#Android #banking_Trojan #bitcoin
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
13.03 Doctor Web : 偽の人気アプリケーションをフィッシングに使用する サイバー犯罪者
2018年3月13日
株式会社Doctor Web Pacific
検出されたプログラムは、人気アプリケーションと同じ名前、そしてそっくりなアイコンを持っています。Doctor Webのセキュリティリサーチャーによって、偽のQIWIアプリケーション(ロシアの決済サービスプロバイダ)、 Sberbank Online、 Odnoklassniki およびVK(人気のソーシャルネットワーク)、 NTV(ロシアのテレビチャンネル)が見つかっています。以下の画像では、サイバー犯罪者がどのように被害者を騙すのかが分かります。左の画像は、Google Play上で簡単に見つけることのできる偽アプリケーションのページです。そして右の画像は本物のアプリケーションのページです。
偽のアプリケーションは起動される度にC&Cサーバーに接続し、サーバーは「none」パラメータで応答するか、またはサイバー犯罪者によって指定されたWebリンクを送信します。パラメータを受信すると、悪意のあるプログラムはリソースから複数の画像を抽出してユーザーに対して表示します。Webリンクを受信した場合はWebページを読み込み、表示させます。このページはWebViewを介してアプリケーション内で直接開かれます。ユーザーには、ターゲットとなるインターネットアドレスへのリンクは表示されません。表示されるWebページのコンテンツはさまざまです。例えば、スマートフォンユーザーに対しては、オンラインバンキングシステムやソーシャルネットワークの偽のログインフォームが表示されます。その上、Androidスマートフォンやタブレットのユーザーは、フィッシング攻撃を受ける危険性があります。この機能は深刻な脅威となることから、当該ソフトウェアは Android.Click.415 としてDr.Webウイルスデータベースに追加されました。
上記トロイの木馬の他に、70を超える同じようなプログラムがDoctor Webセキュリティリサーチャーによって発見されており、27万人以上のユーザーがそれらをダウンロードしています。それらのアプリケーションには、偽のゲーム、レシピコレクション、編み物マニュアルなどがあり、その一部には謳われた機能を実際に実行するものもあります。しかしながら、 Android.Click.415 と同様にC&CサーバーからあらゆるWebページのリンクを受け取ることもでき、それらのWebページを読み込み、ユーザーに対して表示させる機能を備えています。これらのプログラムもまた、 Android.Click.416 および Android.Click.417 としてウイルスデータベースに追加されました。また、悪意のあるアプリケーションのさまざまな亜種が、動作中にモバイルデバイスの画面上に常に広告を表示させます。
Tezov apps、 Aydarapps、 Chmstudio、 SVNGamesの少なくとも4つのソフトウェアデベロッパーがトロイの木馬を拡散しています。Doctor Webでは、検出されたすべての悪意のあるアプリケーションについてGoogle社に報告しましたが、本記事掲載時点で、アプリケーションは未だダウンロード可能な状態となっています。
Doctor Webでは、たとえGoogle Playのような信頼できるソースからアプリケーションをインストールする場合であっても、ソフトウェアデベロッパーの名前に注意を払う必要があるということにユーザーの注意を喚起しています。サイバー犯罪者は、アプリの外観をコピーし、似たような名前を使用することで、ソフトウェア配信サービスで簡単に見つけることのできる偽のアプリをユーザーにインストールさせることができます。Dr.WebのAndroid向けアンチウイルス製品は Android.Click.415 、 Android.Click.416 、 Android.Click.417 のすべての既知の亜種を検出・削除することができます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
06.03 Doctor Web : 密かに動作する新たなダウンローダ型トロイの木馬
2018年3月6日
株式会社Doctor Web Pacific
Trojan.LoadMoney トロイの木馬ファミリーは2013年より知られており、その新たな亜種が定期的に出現しています。そのようなトロイの木馬の1つが Trojan.LoadMoney.3209 です。このトロイの木馬には、他のマルウェアをダウンロード・起動するために使用される2つのインターネットアドレスが含まれています。調査を実行した時点で、このトロイの木馬は両方のアドレスから同様に暗号化されたファイルをダウンロードし、それをランダムな名前で一時フォルダに保存していました。さらに、このファイルは削除された後でメモリ内にロードされ、再びランダムな名前で一時フォルダに保存されます。最後に、この実行ファイルがメモリ内に読み込まれ、起動されます。元のファイルは削除されます。
Trojan.LoadMoney.3209 によってダウンロードされるファイルの1つは Trojan.LoadMoney.3558 として検出されます。この Trojan.LoadMoney.3558 は、メインとなってシステムを感染させる、より複雑な悪意のあるプログラムです。ファイルをダウンロードするために、無料で配信されているユーティリティcURLを使用しますが、このユーティリティは、異なる複数のプロトコルを使用することでインターネット上にある複数のサーバーと同時にやり取りすることを可能にします。このトロイの木馬はそれらを復号化し、ディスクに保存します。感染させたコンピューター上にcURLを使用してファイルをダウンロードするために、 Trojan.LoadMoney.3558 はWindowsタスクスケジューラを利用します。このトロイの木馬にはインターネットリソースの暗号化されたアドレスが4つ含まれており、そのうちの1つはcURLユーティリティと動作するために使用され、その他のアドレスは Trojan.LoadMoney.3263 と名付けられた実行ファイルをダウンロードするために使用されます。 Trojan.LoadMoney.3263 はユーザーに気付かれることなく密かに起動され、その起動時には、元のファイル Trojan.LoadMoney.3263 が削除されます。
ダウンロード後、トロイの木馬は実行ファイルを抽出し、そのヘッダを復元して一時フォルダに保存した後、実行ファイルを起動させます。ファイルはDr.Webによって Trojan.Siggen7.35395 として検出されます。ウイルス開発者は悪意のあるコードに視覚的な特徴を与えていないため、上記トロイの木馬はいずれも感染したシステム内で姿を現しません。そのため、その悪意のある活動を検出することは困難です。
Doctor Webでは、この悪意のあるプログラムのファミリーと危険なファイルについて引き続き調査を行い、新たな情報が明らかになり次第、報告させていただきます。Dr.Webのアンチウイルス製品は Trojan.LoadMoney ファミリーのすべての既知の亜種からの保護を提供します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
#mining #Trojan
05.03 Doctor Web、ロシアの銀行利用者を攻撃するよう設計されたAndroid向け トロイの木馬をGoogle Play上で発見
2018年3月5日
株式会社Doctor Web Pacific
Android.BankBot.344.origin と名付けられたこのトロイの木馬は「VSEBANKI – Vse banki v odnom meste(ALLBANKS – すべての銀行を一か所に)」と呼ばれるアプリケーションに隠されていました。サイバー犯罪者は2月25日にアプリケーションをGoogle Play上にアップロードし、500人近いモバイルユーザーが実際にアプリをダウロードしています。さらに、犯罪者は「ラッキーな」ユーザーに代わってわざわざ偽のレビューまで投稿しています。Doctor Webのスペシャリストはこのトロイの木馬についてGoogle社に報告を行い、その後直ちにトロイの木馬はGoogle Playから削除されました。
バンキングアプリケーションを装ってGoogle Playから拡散されたトロイの木馬のデザイン
Android.BankBot.344.origin は、同じくGoogle Playから拡散され、2月に発見された悪意のあるプログラム Android.BankBot.336.origin の亜種です。以前のバージョンと同様、様々な金融機関のオンラインサービスへのアクセスを提供するアプリケーションを装って拡散されていますが、ウクライナのユーザーを標的としていた以前のバージョンと異なり、 Android.BankBot.344.origin はロシアの銀行の利用者を攻撃するよう設計されています。実際には、アプリケーションには提供されるはずの機能は備わっていません。
アプリケーションを使用してユーザーがオンラインアカウントにアクセスすることができるとされるロシアの銀行のリスト
Android.BankBot.344.origin はユーザーに対し、ログインとパスワードを使用して既存のモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するよう促します。ユーザーがデータを入力してしまうと、それらがサイバー犯罪者に送信されます。その結果、犯罪者はユーザーから金銭を盗むことが可能になります。以前のバージョンと同様、 Android.BankBot.344.origin は受信するSMSメッセージを横取りすることができます。
フィッシング入力フォームの例。金融機関のオンラインバンキングにアクセスするためにログイン認証情報を求められる。
フィッシング入力フォームの例。ユーザーはログインし、クレジットカード情報を入力するよう促される。
Doctor Webでは、オンラインバンキングシステムを使用する際は金融機関の公式アプリケーションのみをインストールするよう推奨しています。Dr.Web for Androidは Android.BankBot.344.origin の既知の亜種をすべて検出します。そのため、Dr.Webユーザーに危害が及ぶことはありません。
#Android, #Google_Play, #banking_Trojan
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
01.03 Doctor Web : 40を超えるAndroidデバイスがメーカーからの出荷時に既に感染
2018年3月1日
株式会社Doctor Web Pacific
Android.Triada.231 は、危険なAndroid.Triadaトロイの木馬の1つです。これらトロイの木馬は重要なシステムコンポーネントであるZygoteのプロセスを感染させます。このプロセスはあらゆるアプリケーションの起動に使用されるものです。モジュール内に挿入されたトロイの木馬は、実行中の他のアプリケーションに侵入します。これにより、ユーザーの介入なしに様々な悪意のある動作を実行(アプリケーションを密かにダウンロード・起動する)することが可能になります。 Android.Triada.231 の主な特徴は、 libandroid_runtime.so システムライブラリ内に埋め込まれているという点にあります。このトロイの木馬は個別のプログラムとして拡散されるのではなく、製造過程でデバイスのファームウェア内に侵入します。ユーザーが購入するとき、デバイスは既に感染していることになります。
昨年の夏、 Android.Triada.231 を検出したDoctor Webのセキュリティリサーチャーは、感染したデバイスを製造しているメーカーに対して報告を行いました。しかしながら、新しいスマートフォンのモデルは依然としてこのトロイの木馬に感染し続けています。たとえば、2017年12月に発売されたLeagoo M9スマートフォンでの検出があげられます。その上、Doctor Webアナリストの調査によると、このスマートフォンのファームウェアへのトロイの木馬の埋め込みは、Leagooのパートナーである上海のソフトウェアデベロッパーからの要求に応じて行われたものであるということが示されています。この企業は、モバイルOSのイメージ内に含むために自社のアプリケーションの1つをLeagooに提供し、そのコンパイル前にシステムライブラリ内に第三者製コードを追加するよう指示していました。残念なことに、この問題のある要求についてメーカーはなんら疑問を抱きませんでした。その結果、最終的に Android.Triada.231 は易々とスマートフォンへの侵入を果たすこととなったのです。
このアプリケーションを分析した結果、Android.MulDrop.924と同じ証明書を使って署名されているということが明らかになりました。このトロイの木馬について、Doctor Webでは2016年に記事を掲載しています。 Android.Triada.231 の拡散には、モバイルOSイメージ内に追加のプログラムを含むよう要求したデベロッパーが、直接的または間接的に関わっているものと考えられます。
現時点で、 Android.Triada.231 は40を超えるデバイスモデルのファームウェアで検出されています:
- Leagoo M5
- Leagoo M5 Plus
- Leagoo M5 Edge
- Leagoo M8
- Leagoo M8 Pro
- Leagoo Z5C
- Leagoo T1 Plus
- Leagoo Z3C
- Leagoo Z1C
- Leagoo M9
- ARK Benefit M8
- Zopo Speed 7 Plus
- UHANS A101
- Doogee X5 Max
- Doogee X5 Max Pro
- Doogee Shoot 1
- Doogee Shoot 2
- Tecno W2
- Homtom HT16
- Umi London
- Kiano Elegance 5.1
- iLife Fivo Lite
- Mito A39
- Vertex Impress InTouch 4G
- Vertex Impress Genius
- myPhone Hammer Energy
- Advan S5E NXT
- Advan S4Z
- Advan i5E
- STF AERIAL PLUS
- STF JOY PRO
- Tesla SP6.2
- Cubot Rainbow
- EXTREME 7
- Haier T51
- Cherry Mobile Flare S5
- Cherry Mobile Flare J2S
- Cherry Mobile Flare P1
- NOA H6
- Pelitt T1 PLUS
- Prestigio Grace M5 LTE
- BQ-5510 Strike Power Max 4G (Russia)
このリストは包括的なものではありません。遥かに多くの数のスマートフォンモデルが感染している可能性があります。
このような大規模な Android.Triada.231 の拡散は、Androidデバイスメーカーはセキュリティの問題とシステムコンポーネント内へのトロイの木馬のコードの侵入についてほとんど注意を払っていないということを示すものです。これはエラーによるものか、あるいは悪意を持って意図的に行われたものであると考えられ、常習的なものである可能性があります。
Dr.Web for Androidは Android.Triada.231 のすべての亜種を検出します。お使いのモバイルデバイスが感染しているかどうかを確認するには、徹底的なスキャンを行ってください。root権限のあるDr.Web Security Space for Androidは、感染したシステムコンポーネントを修復することで Android.Triada.231 を駆除することができます。デバイスのroot権限を使用できない場合は、OSのクリーンなイメージをインストールすることでこのトロイの木馬を削除することができます。クリーンなイメージを入手するにはデバイスのメーカーに連絡してください。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2018年2月28日
株式会社Doctor Web Pacific
2月、Doctor Webのセキュリティリサーチャーは、デバッグモードが有効になった様々なAndroidデバイスを感染させるマイニング型トロイの木馬を検出しました。そのほか、機密情報と金銭を盗む Android.BankBot.336.origin がユーザーを脅かしました。
2月の主な傾向
- 一部のAndroidデバイスを感染させるマイニング型トロイの木馬の拡散
- 新たなバンキング型トロイの木馬の拡散
2月のモバイル脅威
2月には Android.CoinMine.15 が広く拡散されました。サイバー犯罪者は、仮想通貨Moneroをマイニングするためにこのトロイの木馬を使用していました。 Android.CoinMine.15 はワームとして設計され、ネットワークに接続されたAndroidスマートフォンやタブレット、スマートテレビ、ルーター、メディアプレイヤーを感染させます。ただし、感染させることができるのは、デバイスでAndroid Debug Bridge(ADB)デバッグモードが有効になっている場合のみです。デバイスを感染させると、トロイの木馬のコンポーネントの1つが別のデバイスを検出し、トロイの木馬のコピーをそのデバイス上にインストールします。
Dr.Web for Androidによる統計
- Android.RemoteCode.121.origin
- Android.RemoteCode.117.origin
- 悪意のあるものを含む、様々なプログラムモジュールをダウンロード・起動させるトロイの木馬です。
- Android.HiddenAds.253
- Android.HiddenAds.222.origin
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Mobifun.4
- 別のマルウェアアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Adware.Adpush.601
- Adware.Jiubang.2
- Adware.Jiubang.1
- Adware.Leadbolt.12.origin
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールです。モバイルデバイス上に迷惑な広告を表示させます。
- Tool.SilentInstaller.1.origin
- ユーザーの介入なしに密かにアプリケーションを起動するよう設計されたリスクウェアです。
バンキング型トロイの木馬
2月には、Google Play上で Android.BankBot.336.origin が検出されています。サイバー犯罪者は、様々なインターネットバンキングシステムで動作するよう設計された汎用アプリケーションとしてこのトロイの木馬を拡散していました。 Android.BankBot.336.origin はクレジットカードに関する情報に加えて、ユーザーのアカウントからログインとパスワードを盗みます。その後、トロイの木馬はユーザーの銀行口座からサイバー犯罪者へと密かに送金を行います。
ウイルス開発者はAndroid向けの悪意のあるプログラムを継続的に改良し、既知の手法や革新的な手法を駆使してそれらを拡散し続けています。Google Play上での様々なトロイの木馬の発見は依然として後を絶ちません。これらの脅威からスマートフォンやタブレット、その他のデバイスを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2018年2月8日
株式会社Doctor Web Pacific
このAndroid向けトロイの木馬は仮想通貨 Monero(XMR) をマイニングするよう設計されており、ユーザーの操作なしに他のデバイスを感染させることができます。 Android.CoinMine.15 は、Android Debug Bridge(ADB) のインターフェースが使用する5555番ポートの開いているAndroidデバイスを感染させます。スマートテレビだけでなく、スマートフォンやタブレット、セットトップボックス、ルーター、メディアプレイヤー、レシーバーがこのトロイの木馬に感染する可能性があります。すなわち、ネットワークデバッグを使用するあらゆるデバイスが対象となります。Androidを搭載したシングルボードコンピューター Raspberry Pi 3もまた、もう1つの攻撃対象です。
このトロイの木馬は次の方法で拡散されます。 nohup、 sss、 bot.datファイルと共に droidbot.apk アプリケーションが感染したホスト上に、感染した別のデバイスを使用してインストールされます。次に、 nohupユーティリティを使用してsssファイルが実行されます。このファイルは、その動作中にデーモンとして機能します。その後、 JSON設定ファイル、マイニングアプリケーション(32ビット版および64ビット版OS用)、 droidbotトロイの木馬プログラムのコピーを含むその他のトロイの木馬のコンポーネントを bot.datから抽出します。起動されると、 droidbotはランダムなIPアドレスを生成し、5555番ポートに無限ループで接続しようとします。成功すると、トロイの木馬はADBのデバッグインタフェースを使用して、検出されたデバイスを感染させようとします。そして別のスレッドでは、仮想通貨 Monero(XMR) をマイニングするよう設計されたマイニングアプリケーションを起動させます。このような悪意のあるプログラムに感染した場合、デバイスのパフォーマンス低下、過熱、バッテリーの残量の急激な減少が起こることがあります。
ADBデバッグは、 Androidではデフォルトで無効になっています。しかしながら、それを有効にしているベンダーもあり、また、ADBはユーザーによって意図的に有効にすることも可能です。開発者はしばしばデバッグモードを使用します。Dr.Web for Androidによって収集された統計によると、Dr.Webアンチウイルスによって保護されているデバイスの8%でAndroid Debug Bridgeが有効になっています。この設定が潜在的脅威となっている限り、特別なDr.WebコンポーネントであるSecurity Auditorは、デバッグが有効になっていることについてユーザーに警告し、それを無効にするよう提案します。
Dr.Webのスペシャリストは、Androidデバイスのすべてのユーザーが、リスクウェアがないかどうかOSをスキャンすることを推奨しています。これは、Security Auditorを含んだDr.Web Security Space for AndroidをDoctor Web公式サイトまたはGoogle Playで購入することで行うことができます。お使いのデバイスでUSBデバッグを使用していない場合は、それを無効にすることをお勧めします。Android向けDr.Web製品は Android.CoinMine.15 を検出し、削除することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
#Android #mining #cryptocurrencies
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
05.02 Doctor Web、新たな暗号化ランサムウェアについて警告
2018年2月5日
株式会社Doctor Web Pacific
作成者によって「GandCrab!」と名付けられたこのトロイの木馬は、 Trojan.Encoder.24384 としてDr.Webのウイルスデータベースに追加されました。 Trojan.Encoder.24384 によって暗号化されたファイルには拡張子「*.GDCB」が付けられます。現時点で、このエンコーダの2つのバージョンが確認されています。
Microsoft Windows搭載デバイス上で起動されると、 Trojan.Encoder.24384 は実行されているアンチウイルスのプロセスに関する情報を収集します。続けて、繰り返し実行されることを防ぐためのチェックを行い、その後、サイバー犯罪者のリストに従ってプログラムのプロセスを終了させます。このエンコーダはディスク上に自身のコピーをインストールし、自動実行されるようWindowsシステムレジストリブランチを改変します。
Trojan.Encoder.24384 は、サービスフォルダやシステムフォルダなどのフォルダを除いて、固定ディスクやリムーバブルディスク、ネットワークディスクのコンテンツを暗号化します。それぞれのディスクは個別のスレッドで暗号化されます。暗号化が完了すると、トロイの木馬は暗号化されたファイルの数と暗号化にかかった時間に関するデータをサーバーに送信します。
トロイの木馬の使用するC&Cサーバーは、標準的方法では解決することのできないドメイン名を持っています。このサーバーのIPアドレスを取得するため、 Trojan.Encoder.24384 はコマンド nslookup を実行し、その出力内で必要な情報を探します。
現時点では、 Trojan.Encoder.24384 によって暗号化されてしまったファイルを復元することは不可能です。ファイルを保護するための最も信頼性の高い方法は、重要なすべてのデータのバックアップをタイムリーにとることです。さらに、バックアップコピーの保存先には外部ストレージを使用することが推奨されます。
データ損失防止を使用してファイルを暗号化から保護しましょう
| 暗号化ランサムウェアの詳細 | 被害に遭った場合 | 無料復号化サービス | The Anti-virus Times "Encrypt everything" |
2018年1月31日
株式会社Doctor Web Pacific
2018年1月、Doctor Webのウイルスアナリストはトロイの木馬を含んだ約30のゲームをGoogle Play上で発見しました。このトロイの木馬は様々な動作を実行する悪意のあるモジュールを密かにダウンロード・起動します。また、Androidスマートフォンやタブレットのユーザーは、機密情報と金銭を盗むよう設計された新たなバンキング型トロイの木馬による攻撃を受けました。そのほか、1月には複数のスパイウェアがDr.Webウイルスデータベースに追加されています。1月に拡散されていた悪意のあるプログラムの中には、感染させたモバイルデバイスのコンピューティングパワーを使用して仮想通貨Moneroをマイニングする新たなマイニング型トロイの木馬が含まれていました。
1月の主な傾向
- トロイの木馬の埋め込まれたゲームを多数、Google Play上で検出
- モバイルデバイスユーザーをスパイする悪意のあるプログラムの拡散
- ユーザーから金銭を盗む、Android向けの新たなバンキング型トロイの木馬の検出
- 新たなマイニング型トロイの木馬の拡散
1月のモバイル脅威
1月、Doctor Webのウイルスアナリストによって、 Android.RemoteCode.127.origin を含んだ30近いゲームがGoogle Play上で検出されました。 Android.RemoteCode.127.origin は、アプリケーションの機能を拡張するための特別なフレームワークの一部で、様々な動作を実行する追加のモジュールを密かにダウンロードし、起動させます。例えば、Webサイトを開き、ユーザーの操作を模倣してリンクや広告をクリックします。この脅威に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.DownLoader.573.origin
- 別のトロイの木馬や不要なソフトウェアをダウンロードする悪意のあるプログラムです。
- Android.HiddenAds.171.origin
- Android.HiddenAds.253
- Android.HiddenAds.222.origin
- モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.RemoteCode.117.origin
- 悪意のあるものを含む、様々なプログラムモジュールをダウンロード・起動させるトロイの木馬です。
- Adware.Jiubang.2
- Adware.Jiubang.1
- Adware.Allinone.1.origin
- Adware.Adviator.6.origin
- Adware.Leadbolt.12.origin
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールです。モバイルデバイス上に迷惑な広告を表示させます。
バンキング型トロイの木馬
1月には、ログイン認証情報を入力するための偽のウィンドウを表示させ、入力された情報をサイバー犯罪者に送信するバンキング型トロイの木馬 Android.BankBot.250.origin が拡散されました。
このトロイの木馬は、確認コードを含んだSMSを横取りし、サイバー犯罪者の口座への送金やオンラインバンキングシステム内でのその他の操作を密かに承認します。
スパイウェア
1月、Dr.Webウイルスデータベースに複数のスパイウェアが追加されました。そのうちの1つは、Dark Caracalとしても知られる Android.Spy.422.origin でした。この悪意のあるプログラムはサイバースパイ行為を目的に使用されていました。 Android.Spy.422.origin はSMSメッセージを盗み、通話を追跡し、写真やWebブラウザ履歴、保存されたブックマークを盗み、感染させたデバイスの内蔵マイクロフォンを使用して周りを盗聴し、さらにその他の幅広い動作を実行します。その他のスパイウェアは Android.Spy.410.origin の新たな亜種でした。 Android.Spy.410.origin は2017年11月よりDoctor Webスペシャリストに知られています。このスパイウェアはTelegram、 WhatsApp、 Skypeなどのポピュラーなメッセンジャーでのやり取りを追跡し、SMSメッセージや通話を横取りし、写真を盗みます。
ANDROID向けマイニング型トロイの木馬
1月に検出された、Androidを狙った悪意のあるプログラムにはマイニング型トロイの木馬も含まれていました。 Android.CoinMine.8 と名付けられたマイニング型トロイの木馬は、Webサイトから無料でダウンロードできるゲームやプログラムとして拡散されていました。実際は、それらのアプリケーションはすべて、感染させたデバイスを使用して仮想通貨Moneroをマイニングするトロイの木馬でした。
サイバー犯罪者は、依然としてAndroid向けの悪意のあるアプリケーションや不要なアプリケーションを作成し続け、それらを不正なWebサイトだけでなくGoogle Playからも拡散させています。これらの脅威からモバイルデバイスを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2018年1月31日
株式会社Doctor Web Pacific
2018年は、トロイの木馬が埋め込まれた複数のAndroid向けゲームのGoogle Play上での検出によって幕を開けました。このトロイの木馬は感染させたデバイス上に悪意のあるモジュールをダウンロードし、起動させます。また、Windowsサーバーを感染させる複数のマイニング型トロイの木馬について、ウイルスアナリストによる調査が行われました。これらはすべてCleverence Mobile SMARTS Serverソフトウェアの脆弱性を利用するものでした。
1月の主な傾向
- Google Play上で危険なAndroid向けトロイの木馬を検出
- Windowsサーバーを感染させるマイニング型トロイの木馬の新たなバージョンの拡散
1月の脅威
Cleverence Mobile SMARTS Serverは、店舗や倉庫、様々な施設や生産を自動化するためのアプリケーション群です。Doctor Webのアナリストは、遡ること2017年7月にこれらプログラムに含まれるゼロデイ脆弱性を発見し、ソフトウェアデベロッパーに報告を行いました。製品に対するセキュリティアップデートが直ちにリリースされましたが、すべてのサーバー管理者がそれをインストールしたわけではなく、その機に乗じてサイバー犯罪者は脆弱なサーバーに対するハッキングを続けました。サイバー犯罪者はそのようなサーバーに対して特別なリクエストを送信し、その結果、このリクエストに含まれているコマンドが実行されます。このコマンドを使用することで、サイバー犯罪者は管理者権限を持った新規ユーザーをシステム内で作成し、このユーザーアカウントを使用してRDPプロトコル経由でサーバーに不正アクセスします。また、Process Hackerツールを使用して、サーバー上で動作しているアンチウイルスのプロセスをシャットダウンさせるケースも確認されています。アクセスを取得したサイバー犯罪者によって、システムにマイニング型トロイの木馬がインストールされます。
サイバー犯罪者の使用するマイニング型トロイの木馬は継続的に改良され続けています。当初、使用されていたのは、 Trojan.BtcMine.1324、 Trojan.BtcMine.1369、 Trojan.BtcMine.1404としてDr.Webウイルスデータベースに追加された複数のバージョンのマイニング型トロイの木馬でした。のちに、これらは Trojan.BtcMine.2024、 Trojan.BtcMine.2025、 Trojan.BtcMine.2033へとアップデートされ、そして最新バージョンの Trojan.BtcMine.1978 が登場しました。
このトロイの木馬はクリティカルなシステムプロセスとして起動します。ユーザーがこのプロセスをシャットダウンしようとすると、Windowsによって緊急シャットダウンが実行され、「ブルースクリーン・オブ・デス(BSOD)」が表示されます。起動されると、 Trojan.BtcMine.1978 は、複数のアンチウイルスのプロセスをシャットダウンし、サービスを削除しようと試みます。 Trojan.BtcMine.1978 は仮想通貨 Monero(XMR) と Aeon をマイニングするために使用されていました。 Cleverence Mobile SMARTS Serverを使用するサーバー管理者の方には、デベロッパーによってリリースされたすべてのセキュリティアップデートをインストールすることをお勧めします。この脅威に関する詳細については、こちらの記事をご覧ください。
Dr.Web Anti-virusによる統計
- Trojan.Moneyinst.520
- 他のトロイの木馬を含むさまざまなソフトウェアを被害者のコンピューター上にインストールする悪意のあるプログラムです。
- Trojan.Starter.7394
- 感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。
- Trojan.BPlug
- ユーザーがWebページを閲覧する際に迷惑な広告を表示させる、ポピュラーなブラウザのプラグインです。
- Trojan.DownLoad
- 感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
- Trojan.Zadved
- ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。
Doctor Web統計サーバーによる統計
- JS.BtcMine.7
- 仮想通貨を密かにマイニングするよう設計されたJavaScriptです。
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
- Trojan.Encoder.24348
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。
- Trojan.PWS.Stealer
- 感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
メールトラフィック内で検出された脅威の統計
- JS.BtcMine.7
- 仮想通貨を密かにマイニングするよう設計されたJavaScriptです。
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
- Trojan.Encoder.24348
- ファイルを暗号化し、復元するために身代金を要求する暗号化ランサムウェア型トロイの木馬ファミリーに属する悪意のあるプログラムです。
- Trojan.PWS.Stealer
- 感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
暗号化ランサムウェア
2018年1月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました。
- Trojan.Encoder.858 — リクエストの22.12%
- Trojan.Encoder.567 — リクエストの7.83%
- Trojan.Encoder.11539 — リクエストの6.45%
- Trojan.Encoder.2267 — リクエストの3.46%
- Trojan.Encoder.761 — リクエストの3.23%
- Trojan.Encoder.3953 — リクエストの3.20%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します
危険なWEBサイト
2018年1月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は309,933件となっています。
| 2017年12月 | 2018年1月 | 推移 |
|---|---|---|
| + 241,274 | + 309,933 | +28.4% |
モバイルデバイスを脅かす悪意のある、または望まないプログラム
1月、Doctor Webのウイルスアナリストはトロイの木馬 Android.RemoteCode.127.origin を含んだ多数のAndroid向けゲームをGoogle Play上で発見しました。このトロイの木馬は様々な動作を実行する悪意のあるモジュールを密かにダウンロード・起動します。また、1月にはバンキング型トロイの木馬 Android.BankBot.250.origin がユーザーを脅かしました。このトロイの木馬はオンラインバンキング口座にアクセスするためのログイン認証情報を盗みます。1月には、マイニング型トロイの木馬 Android.CoinMine.8 も検出されています。このトロイの木馬は、感染させたスマートフォンやタブレットのコンピューティングパワーを使用して仮想通貨Moneroをマイニングします。そのほか、Android向けスパイウェアが複数、Dr.Webウイルスデータベースに追加されています。そのうちの1つは Android.Spy.422.origin でした。その他のスパイウェアは2017年11月に拡散されていた Android.Spy.410.origin の新たな亜種でした。
1月の注目に値するモバイルマルウェアに関するイベントは以下のとおりです。
- Google Play上で新たなトロイの木馬を検出
- 感染させたモバイルデバイスを使用して仮想通貨をマイニングする新たなAndroid向けマイニング型トロイの木馬の拡散
- 新たなスパイウェアの検出
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
24.01 Cleverence Mobile SMARTS Serverの脆弱性を利用した仮想通貨のマイニング
2018年1月24日
株式会社Doctor Web Pacific
Cleverence Mobile SMARTS Serverシリーズのアプリケーションは、店舗や倉庫、様々な施設や生産を自動化するためのもので、Microsoft Windows搭載のコンピューター上で動作するよう設計されています。2017年7月、Cleverence Mobile SMARTS Serverコンポーネントの1つに重大な脆弱性が含まれていることが、Doctor Webのスペシャリストによって発見されました。サイバー犯罪者はこの脆弱性を利用してサーバーに不正アクセスし、それらのサーバー上に仮想通貨をマイニングするTrojan.BtcMineファミリーに属するトロイの木馬をインストールしていました。Doctor Webは、この脆弱性について直ちにソフトウェアデベロッパーに報告を行いました。
サイバー犯罪者は、Dr.Webによって Trojan.BtcMine.1324、 Trojan.BtcMine.1369、 Trojan.BtcMine.1404 として検出される複数のバージョンのマイニング型トロイの木馬を使用していました。Cleverence Mobile SMARTS Serverソフトウェアが動作しているサーバーに対して特別なリクエストが送信され、その結果として、そのリクエストに含まれているコマンドが実行されます。サイバー犯罪者はこのコマンドを使用することで、管理者権限を持った新規ユーザーをシステム内で作成し、このユーザーアカウントを使用してプロトコル経由でサーバーに不正アクセスします。また、Process Hackerツールを使用して、サーバー上で動作しているアンチウイルスのプロセスをシャットダウンさせるケースも確認されています。アクセスを取得したサイバー犯罪者によって、システムにマイニング型トロイの木馬がインストールされます。
このトロイの木馬はダイナミックライブラリで、一時フォルダに保存された後、実行されます。この悪意のあるプログラムは、いくつかのパラメータによって「被害者」を選択することで正規のWindowsシステムサービスの1つを置き換え、元のサービスファイルを削除します。次に、この悪意のあるサービスは複数のシステム権限を取得し、そのプロセスにクリティカルなフラグを設定します。続けて、トロイの木馬はその動作に必要なファイルをディスク上に保存し、感染させたサーバーのハードウェアを使用して仮想通貨のマイニングを開始します。
Cleverence Mobile SMARTS Serverの開発者によって、ソフトウェアの脆弱性を修正するためのアップデートが適時にリリースされましたが、サーバー管理者の多くはそれを直ちにインストールせず、それがサイバー犯罪者に利用される結果となりました。サイバー犯罪者はハッキングしたサーバー上へのマイニング型トロイの木馬のインストールをやめることなく、それらは継続的に改良され続けています。そして2017年11月の後半を境に、今日まで改良され続けてきた、まったく新しいトロイの木馬が使用されるようになりました。 Trojan.BtcMine.1978 と名付けられたそのトロイの木馬は仮想通貨 Monero(XMR) とAeonをマイニングするよう設計されています。
このマイニング型トロイの木馬は「Plug-and-Play Service」という名前で表示されるクリティカルなシステムプロセスとして起動します。ユーザーがこのプロセスをシャットダウンしようとすると、Windowsによって緊急シャットダウンが実行され、「ブルースクリーン・オブ・デス(BSOD)」が表示されます。起動されると、 Trojan.BtcMine.1978 はDr.Webアンチウイルス、 Windows Live OneCare、カスペルスキーアンチウイルス、 ESET Nod32、 Emsisoft Anti-Malware、 Avira、360 Total Security、 Windows Defenderのサービスを削除しようと試みます。次に、コンピューター上で起動されたアンチウイルスプログラムを探します。見つかった場合は、それらのプロセスを閉じるために使用するドライバを復号化し、ディスクに保存したうえで起動させます。Dr.Webアンチウイルスは Trojan.BtcMine.1978 によって使用されるProcess Hackerドライバを検出し、ブロックします。このドライバはハッキングツールとしてDr.Webウイルスデータベースに追加されています。
Trojan.BtcMine.1978 は自身の設定ファイルからポートのリストを受け取ると、ネットワーク内でルーターを検索します。そして、UPnPプロトコルを使用してルーターのTCPポートをリスト上にあるポートにリダイレクトし、それらに接続してHTTPプロトコル経由での接続を待ちます。このトロイの木馬はその正常な動作に必要な設定をWindowsシステムレジストリに保存します。
Trojan.BtcMine.1978 の本体にはC&CサーバーのIPアドレスのリストが含まれています。トロイの木馬はそのリストをチェックし、アクティブなアドレスを見つけます。続けて、感染させたシステム上で、仮想通貨のマイニングに使用するプロキシサーバーを設定します。また、 Trojan.BtcMine.1978 はサイバー犯罪者のコマンドに従ってPowerShellを起動させ、その入出力を、感染したホストに接続したリモートユーザーにリダイレクトします。これにより、サイバー犯罪者は感染させたサーバー上で様々なコマンドを実行することが可能になります。
これらのアクションを実行した後、トロイの木馬は実行中のすべてのプロセスに、仮想通貨をマイニングするよう設計されたモジュールを埋め込みます。これが、 Monero(XMR) とAeonのマイニングに使用されるモジュール動作の最初のプロセスです。
Trojan.BtcMine.1978 にはアンチウイルスのプロセスを強制的にシャットダウンさせる機能が備わっていますが、Dr.Webのユーザーは安全に保護されています。Dr.Webアンチウイルスのセルフプロテクション機能によって、トロイの木馬は重要なコンポーネントの動作を妨害することができません。Cleverence Mobile SMARTS Serverを使用するサーバー管理者の方には、デベロッパーによってリリースされたすべてのセキュリティアップデートをインストールことをお勧めします。
| Trojan.BtcMine.1978の詳細(英語) |
16.01 Doctor Web、ダウンロード数450万を超える感染したゲームをGoogle Play 上で発見
2018年1月16日
株式会社Doctor Web Pacific
Android.RemoteCode.127.origin は呀呀云(Ya Ya Yun)と呼ばれるフレームワーク(ソフトウェア開発キット、SDK:Software Development Kit)の一部です。これは、アプリケーションの機能を拡張するためにデベロッパーによって使用されており、中でも特に、ゲーマー間の通信の維持を可能にすることができます。しかしながら、このプラットフォームはその他にトロイの木馬としての機能も持っています。すなわち、リモートサーバーから悪意のあるモジュールを密かにダウンロードするというものです。
SDKの組み込まれたプログラムが起動されると、 Android.RemoteCode.127.origin はC&Cサーバーに対してリクエストを送信し、その応答として、あらゆる種類の動作を実行することのできる悪意のあるモジュールをダウンロード・起動するコマンドを受け取ります。Doctor Webのスペシャリストは、 Android.RemoteCode.126.origin と名付けられたそのようなモジュールの1つを入手し、調査を行いました。起動されると、このモジュールはC&Cサーバーに接続し、無害であると見せかけた画像をダウンロードするためのリンクを取得します。
実際は、この画像ファイル内に Android.RemoteCode.126.origin のアップデートされたバージョンであるもう1つのトロイの木馬モジュールが含まれています。悪意のあるオブジェクトを画像内に隠すこのような手法(ステガノグラフィ)はウイルスアナリストの間で既に知られています。同様の手法が用いられた例として、2016年に検出され、 Android.Xiny.19.origin と名付けられたトロイの木馬があげられます。
復号化されて起動されると、新しいバージョンのトロイの木馬モジュール(Dr.Webによって Android.RemoteCode.125.origin として検出)は古いバージョンのモジュールと同時に動作を開始することで、その機能を2倍にします。次に、悪意のあるコンポーネントの潜んだまた別の画像をダウンロードします。 Android.Click.221.origin と名付けられたこのコンポーネントの目的は、密かにWebサイトを開き、サイト上にあるリンクやバナーなどのアイテムをクリックすることです。
そのために、 Android.Click.221.origin はC&Cサーバーによって指定されたアドレスからスクリプトをダウンロードします。このスクリプトは、指定されたアイテムのクリックを模倣するなど、トロイの木馬がWebサイト上で様々な動作を実行することを可能にします。このようにトロイの木馬がリンクや広告をクリックする機能を備えていれば、サイバー犯罪者はWebサイトのトラフィックを増加させ、バナーをクリックすることで収益を得ることができます。ただし、 Android.RemoteCode.127.origin の持つ機能はこれだけに留まりません。ウイルス開発者は他の悪意のある動作を実行するまた別のトロイの木馬のモジュールを作成することができるからです。例えば、ログイン認証情報を盗むためのフィッシングウィンドウを表示させる、広告を表示させる、アプリケーションを密かにダウンロード・インストールするなどです。
Doctor Webのスペシャリストはトロイの木馬を含んだSDKを使用している27のゲームをGoogle Play上で発見しました。450万をこえるユーザーがそれらをダウンロードしています。以下は、 Android.RemoteCode.127.origin の埋め込まれたアプリケーションのリストです。
| プログラム名 | アプリケーションパッケージ名 | バージョン |
|---|---|---|
| Hero Mission | com.dodjoy.yxsm.global | 1.8 |
| Era of Arcania | com.games37.eoa | 2.2.5 |
| Clash of Civilizations | com.tapenjoy.warx | 0.11.1 |
| Sword and Magic | com.UE.JYMF&hl | 1.0.0 |
| خاتم التنين - Dragon Ring (For Egypt) | com.reedgame.ljeg | 1.0.0 |
| perang pahlawan | com.baiduyn.indonesiamyth | 1.1400.2.0 |
| 樂舞 - 超人氣3D戀愛跳舞手遊 | com.baplay.love | 1.0.2 |
| Fleet Glory | com.entertainment.mfgen.android | 1.5.1 |
| Kıyamet Kombat Arena | com.esportshooting.fps.thekillbox.tr | 1.1.4 |
| Love Dance | com.fitfun.cubizone.love | 1.1.2 |
| Never Find Me - 8v8 real-time casual game | com.gemstone.neverfindme | 1.0.12 |
| 惡靈退散-JK女生の穿越冒險 | com.ghosttuisan.android | 0.1.7 |
| King of Warship: National Hero | com.herogames.gplay.kowglo | 1.5.0 |
| King of Warship:Sail and Shoot | com.herogames.gplay.kowsea | 1.5.0 |
| 狂暴之翼-2017年度最具人氣及最佳對戰手遊 | com.icantw.wings | 0.2.8 |
| 武動九天 | com.indie.wdjt.ft1 | 1.0.5 |
| 武動九天 | com.indie.wdjt.ft2 | 1.0.7 |
| Royal flush | com.jiahe.jian.hjths | 2.0.0.2 |
| Sword and Magic | com.linecorp.LGSAMTH | Depends on a device model |
| Gumballs & Dungeons:Roguelike RPG Dungeon crawler | com.qc.mgden.android | 0.41.171020.09-1.8.6 |
| Soul Awakening | com.sa.xueqing.en | 1.1.0 |
| Warship Rising - 10 vs 10 Real-Time Esport Battle | com.sixwaves.warshiprising | 1.0.8 |
| Thủy Chiến - 12 Vs 12 | com.vtcmobile.thuychien | 1.2.0 |
| Dance Together | music.party.together | 1.1.0 |
| 頂上三国 - 本格RPGバトル | com.yileweb.mgcsgja.android | 1.0.5 |
| 靈魂撕裂 | com.moloong.wjhj.tw | 1.1.0 |
| Star Legends | com.dr.xjlh1 | 1.0.6 |
Doctor Webは、上記アプリケーション内で検出されたトロイの木馬についてGoogle社に報告を行いました。しかしながら、本記事掲載時点で、これらアプリケーションは未だダウンロード可能な状態となっています。 Android.RemoteCode.127.origin を含んだゲームをダウンロードしたAndroidスマートフォンやタブレットのユーザーは、それらを削除することが推奨されます。。Dr.Web for Androidは Android.RemoteCode.127.origin を含んだプログラムを検出することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
Android.RemoteCode.127.originの詳細(英語)
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2017
2017年12月29日
株式会社Doctor Web Pacific
2017年最後の月には、Microsoft Windowsを搭載したコンピューターやデバイスを標的とする新たなバックドアが登場しました。また、Linux向けトロイの木馬 Linux.ProxyM を使用したWebサイトのハッキングが発生しているということが、Doctor Webのアナリストによって明らかになりました。12月を通して、Dr.WebのウイルスデータベースにはAndroid向けの新たな悪意のあるプログラムのシグネチャが追加されています。
12月の主な傾向
- Linux向けの新たなトロイの木馬
- Linux向けトロイの木馬を使用したWebサイトのハッキング
- Android向けの新たな悪意のあるプログラムの拡散
12月の脅威
12月、感染したコンピューター上でサイバー犯罪者から受け取ったコマンドを実行する機能を持ったトロイの木馬Anunakファミリーの新たな亜種について、ウイルスアナリストによる調査が行われました。 BackDoor.Anunak.142 と名付けられたこの新たなバックドアは64ビット版のMicrosoft Windowsを感染させ、次の動作を行うことができます。
- 特定のリモートサーバーからファイルをダウンロードする
- ファイルをリモートサーバーにアップロードする
- 感染したデバイス上でファイルを実行する
- cmd.exeコンソールでコマンドを実行する
- ポート間でトラフィックをリダイレクトする
- 自身のモジュールをダウンロード・インストールする
この脅威に関する詳細については、こちらの記事をご覧ください。
Dr.Web Anti-virusによる統計
- 感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。
- Trojan.Encoder.11432
- WannaCryとして知られる暗号化ワームです。
- Trojan.Zadved
- ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。
- JS.BtcMine.2
- 仮想通貨を密かにマイニングするよう設計されたJavaScriptです。
- Trojan.BPlug
- ユーザーがWebページを閲覧する際に迷惑な広告を表示させる、ポピュラーなブラウザのプラグインです。
Doctor Web統計サーバーによる統計
- JS.BtcMine.2
- 仮想通貨を密かにマイニングするよう設計されたJavaScriptです。
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
- Trojan.Inject
- 他のプログラムのプロセス内に悪意のあるコードを挿入する、悪意のあるプログラムのファミリーです。
- Trojan.Starter.7394
- 感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。
- Trojan.PWS.Stealer
- 感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
- Trojan.DownLoader
- 感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
メールトラフィック内で検出された脅威の統計
- Trojan.DownLoader
- 感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
- JS.DownLoader
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。
- VBS.DownLoader
- 悪意のあるJavaScriptのファミリーです。コンピューター上に悪意のあるソフトウェアをダウンロード・インストールします。
- VBS.DownLoader
- 仮想通貨を密かにマイニングするよう設計されたJavaScriptです。
暗号化ランサムウェア
2017年12月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.858 — リクエストの27.29%
- Trojan.Encoder.11539 — リクエストの12.55%
- Trojan.Encoder.3953 — リクエストの4.09%
- Trojan.Encoder.3953 — リクエストの3.41%
- Trojan.Encoder.2667 — リクエストの2.59%
- Trojan.Encoder.567 — リクエストの2.05%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します
危険なWEBサイト
2017年12月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は241,274件となっています。
| 2017年11月 | 2017年12月 | 推移 |
|---|---|---|
| +331,895 | +241,274 | -27.3% |
LINUXを標的とするマルウェア
Linux.ProxyM は2017年5月よりウイルスアナリストに存在を知られています。感染したデバイス上でSOCKSプロキシサーバーを動作させるという極めてシンプルな悪意のあるプログラムでした。サイバー犯罪者は Linux.ProxyM を使用して感染させたホストから約400通のスパムを送信していましたが、その後間もなくして、フィッシングメッセージを送信するようになりました。これらのメッセージの多くは電子文書で使用するDocuSignサービスからのものを装っていました。これにより、サイバー犯罪者はユーザーの認証情報を盗みます。
12月、サイバー犯罪者は Linux.ProxyM に感染したデバイスを新たな目的で使用しているということが明らかになりました。トロイの木馬のプロキシサーバーを利用することで匿名性を維持し、多くのWebサイトに対してハッキングを試みるというものです。これには様々なハッキング手法が用いられています。SQLインジェクション(悪意のあるSQLコードをWebサイトデータベースへのリクエストに挿入する)、XSS(クロスサイトスクリプティング。Webページに悪意のあるスクリプトを追加し、ページが開かれると実行されるようにする攻撃方法)、ローカルファイルインクルード攻撃(LFI)(特別に生成されたコマンドを使用することで、攻撃を受けたサーバー上にあるファイルをサイバー犯罪者がリモートで読むことを可能にする攻撃方法)です。この脅威に関する詳細については、こちらの記事をご覧ください。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
12月には、金融機関の利用者から口座のログイン認証情報を盗む Android.BankBot.243.origin と Android.BankBot.255.origin が、Google Play上で検出されました。公式ストア以外の場所からも同様のトロイの木馬が拡散され、 Android.Packed.15893 と名付けられました。そのほか12月には、イタリアのユーザーをスパイする Android.Spy.410.origin がDr.Webのウイルスデータベースに追加されています。
12月の注目に値するモバイルマルウェアに関するイベントは以下のとおりです。
- 新たなバンキング型トロイの木馬の拡散
- 個人情報を盗むスパイウェアの検出
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
2017年12月29日
株式会社Doctor Web Pacific
インターネットセキュリティに関して、2017年は暗号化ワームWannaCry、 NePetya、 そして BadRabbit による世界的な攻撃と、「IoT (モノのインターネット)」を標的としたLinux向けトロイの木馬の大量出現が起こった年として記憶に残るでしょう。また、2017年は多くのWebサイトを介して悪意のあるスクリプトが拡散された年でもあります。これらのスクリプトは仮想通貨をマイニングするよう設計されていました。
2017年春、Doctor WebのセキュリティアナリストはMac OS向けの新たなバックドアについて調査を行いました。これは、2017年にウイルスデータベースに追加された、AppleのOSを標的とする数少ない悪意のあるプログラムの1つでした。過去12カ月の間に、新たなバンキング型トロイの木馬も登場しています。これらは金融機関の利用者の口座から金銭を盗むよう設計されています。1つ目は Trojan.PWS.Sphinx.2 として2月に、もう1つは Trojan.Gozi.64 として11月にDoctor Webのセキュリティスペシャリストに発見されました。
2017年を通して、詐欺師の活動が活発化しました。Doctor Webでは、インターネットユーザーを騙すための新たな手法について定期的に報告しています。2017年3月には、様々なインターネットリソースの管理者や所有者から金銭をだまし取ろうとするネットワーク詐欺師によって、約500の偽サイトが作成されていることが明らかになりました。サイバー犯罪者は、「Yandex」の社員または「RU-Center」からのものを装ったスパムメッセージを配信し、さらに、被害者に個人保険口座番号 (SNILS) を入力させるための詐欺手法も編み出していました。また、7月にはロシア連邦の政府サービスポータル (gosuslugi.ru) が攻撃を受けました。未知の攻撃者によって、悪意のある可能性のあるコードがページ内に埋め込まれていました。この脆弱性はポータルの管理者によって直ちに取り除かれました。
2017年は、Androidモバイルデバイスのユーザーにとっても気の抜けない年となりました。
夏には、デバイスのコントロールを奪い、金融機関やクレジット会社の利用者から機密情報を盗む多機能なAndroid向けトロイの木馬について、Doctor Webのセキュリティアナリストによる調査が行われました。Google Playではゲームに埋め込まれたダウンローダ型トロイの木馬が検出されました。このトロイの木馬は100万を超えるユーザーにダウンロードされていました。2017年を通して、工場出荷時のファームウェアにプリインストールされていたAndroid向けトロイの木馬のほか、Androidを標的としたその他多くの悪意のあるプログラムやリスクウェアが発見されています。
2017年の主な傾向
- ユーザーの操作なしに自力で拡散する能力を持った危険な暗号化ワームの出現
- IoTを標的とするLinux向けトロイの木馬が急増
- Androidを標的とする危険な悪意のあるプログラムの拡散
2017年の最も注目すべきイベント
ファイルを暗号化し、復元するために身代金を要求するエンコーダ型トロイの木馬は、多くの場合「便利な」ツールとして、または悪意のあるメールを介して拡散されていました。
また、暗号化トロイの木馬自体をメールに添付するのではなく、小さなダウンローダ型トロイの木馬を添付するというケースも多く確認されています。添付を開くと、ダウンローダ型トロイの木馬によってエンコーダがダウンロード・起動されます。
一方、ネットワークを介して自力で拡散するワームは、当初、ファイルの暗号化には使用されていませんでした。これらは全く異なる悪意のある機能を持つものでした。2017年の初め、Doctor Webのスペシャリストは、そのような悪意のあるプログラムの亜種の1つについて調査を行っています。暗号化の機能とネットワークワームの機能を併せ持つ最初のエンコーダが Trojan.Encoder.11432 です。このエンコーダはWannaCryとして広く知られるようになりました。
このトロイの木馬の大規模な拡散は2017年5月12日の午前10時ごろに始まりました。他のコンピューターを感染させるため、このワームはSMBプロトコルの脆弱性 (MS17-10) を悪用します。攻撃の対象となるのはランダムなIPアドレスを持った、ローカルネットワークホストとインターネット上のコンピューターです。このワームは複数のコンポーネントで構成されており、暗号化トロイの木馬はそのうちの1つに過ぎません。
Trojan.Encoder.11432 はランダムなキーでファイルを暗号化します。また、ユーザーがテストファイルを無料で復号化することができるよう、特別なデコード用モジュールを持っています。ただし、テストファイルの復号化とその他のファイルの復号化には異なる鍵が使用されるため、例え身代金を支払ったとしても、エンコーダによって暗号化されてしまったデータが復元されるという保証はありません。この脅威に関する詳細については、こちらの記事をご覧ください。
その後間もなくして、また別の暗号化ワームによる大規模な攻撃が発生しました。このワームは、以前に拡散されたトロイの木馬 Petya (Trojan.Ransom.369) との類似性から、様々なソースでNePetya、 Petya.A、 ExPetya、 WannaCry-2と呼ばれています。 NePetyaは Trojan.Encoder.12544 としてDr.Webのウイルスデータベースに追加されました。
その前身であるWannaCry同様、暗号化ワーム Trojan.Encoder.12544 もまた、SMBプロトコルの脆弱性を悪用して拡散されていました。ただし、このケースでは、拡散元を特定するのにそう長くかかりませんでした。すなわち、ウクライナで利用されている税務会計ソフト「M.E.Doc」のアップデートモジュールです。これが、 Trojan.Encoder.12544 による最初の被害を受けたのがウクライナのユーザーと企業であった理由です。 M.E.Docについて詳細な調査を行ったDoctor Webのスペシャリストによって、そのコンポーネントの1つにフル機能のバックドアが含まれているということが明らかになりました。このバックドアは、メールサーバーにアクセスするための認証情報を収集し、コンピューター上であらゆるアプリケーションをロード・起動させ、システム内で任意のコマンドを実行し、そしてコンピューターからリモートサーバーにファイルを送信することができます。 NePetya以前にも、少なくとも1つの暗号化トロイの木馬が同じような方法でバックドアを使用していました。
Trojan.Encoder.12544 に関する調査の結果、このエンコーダは破損したファイルを復号化することを意図したものではないということが明らかになりました。また、このエンコーダには幅広い悪意のある機能が備わっていました。このエンコーダは Mimikatz ツールを使用してWindowsユーザーの認証データを横取りし、この情報(とその他複数の手法)を使用してローカルネットワーク内で拡散されます。アクセスしたコンピューターを感染させるため、 Trojan.Encoder.12544 はリモート管理ツール PsExec または標準的なコンソールツールを使用して Wmic.exe オブジェクトを呼び出します。いずれの場合も、エンコーダはCドライブのVBR(ボリュームブートレコード)を破損させ、元のWindowsブートレコード (MBR) をトロイの木馬のブートレコードで上書きします。同時に、元のMBRを暗号化してドライブの別のセクターに移します。
Doctor Webでは、6月に Trojan.Encoder.12544 に関する詳細な記事を掲載しています。
10月には、また別のエンコーダワームが発見され、 Trojan.BadRabbit と名付けられました。
このトロイの木馬の既知のサンプルはAdobe Flashインストーラのアイコンを持ったプログラムとして拡散されていました。構造的には、 BadRabbit はこれまでに登場した2つの暗号化ランサムウェアと似ています。ドロッパー、エンコーダ、ネットワークワーム、そしてデコード機能も備えたディスクエンコーダで構成されています。また、そのコードの一部は明らかに Trojan.Encoder.12544 から引き継がれています。ただし、このエンコーダには、1つの目立った特徴があります。起動されると、コンピューター上でDr.WebとMcAfeeの2つのアンチウイルスの存在を確認し、それらが検出された場合は、早期に検出されることを防ぐため最初の暗号化手順をスキップするというものです。
この脅威に関する詳細については、こちらの記事をご覧ください。
ウイルスに関する状況
Doctor Web統計サーバーによって収集されたデータによると、2017年にユーザーのコンピューターを最も多く感染させたのは、インターネットから他のトロイの木馬をダウンロードし、危険なアプリケーションや望まないアプリケーションをインストールするよう設計されたスクリプトや悪意のあるプログラムでした。2016年と比べると、アドウェアがほとんど統計に含まれていません。
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
- JS.DownLoader
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。
- Trojan.InstallCore
- 悪意のある不要なアプリケーションをインストールするトロイの木馬ファミリーです。
- Trojan.DownLoader
- 感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
- Trojan.Inject
- 他のプログラムのプロセス内に悪意のあるコードを挿入する、悪意のあるプログラムのファミリーです。
- Trojan.DownLoad
- 感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
メールトラフィックに関する分析でも同様の傾向が確認されています。ただし、ダウンローダの他に、パスワードや個人情報を盗むよう設計されたトロイの木馬も多く検出されています。
- JS.DownLoader
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
- Trojan.InstallCore
- 悪意のある不要なアプリケーションをインストールするトロイの木馬ファミリーです。
- Trojan.PWS.Stealer
- 感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。
- Trojan.DownLoader
- 感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
- W97M.DownLoader
- オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。
- PowerShell.DownLoader
- PowerShellで書かれた悪意のあるファイルのファミリーで、コンピューター上に別のマルウェアをダウンロード・インストールするよう設計されています。
- Trojan.Inject
- 他のプログラムのプロセス内に悪意のあるコードを挿入する、悪意のあるプログラムのファミリーです。
暗号化ランサムウェア
2017年はエンコーダ型ワームの年であったと言っても差し支えないでしょう。暗号化ランサムウェアがユーザーの操作なしにネットワークを介して大量に拡散する方法を習得したのが、まさに2017年でした。その結果、大規模な拡散がいくつも発生しました。過去12カ月の間に、Doctor Webのテクニカルサポートには暗号化ランサムウェアに感染したユーザーから約18,500件のリクエストが寄せられています。5月以降、リクエスト件数は徐々に減少し、2017年の終わりには年初と比べて半分となっています。
統計によると、コンピューター上で最も多く検出された暗号化ランサムウェアは Trojan.Encoder.858 で、続けて Trojan.Encoder.3953、 Trojan.Encoder.567となっています。
2017年に最も多く検出されたランサムウェアプログラム:
- Trojan.Encoder.858 — リクエストの26.55%
- Trojan.Encoder.3953 — リクエストの6.03%
- Trojan.Encoder.567 — リクエストの3.71%
- Trojan.Encoder.761 — リクエストの1.79%
- Trojan.Encoder.3976 — リクエストの1.07%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します
LINUXを標的とするマルウェア
2016年同様、2017年にも多くのLinux向けトロイの木馬が検出されました。x86、 ARM、 MIPS、 MIPSEL、 PowerPC、 Superh、 Motorola 68000、 SPARCアーキテクチャ、すなわち幅広い「スマート」デバイス向けの危険なアプリケーションが作成されています。そのようなデバイスには、あらゆる種類のルーターやセットトップボックス、ネットワークドライバなどが含まれています。多くのユーザーがデフォルトの認証情報を変更せずに使用しているという事実が、サイバー犯罪者の仕事を容易にしています。
2017年1月の終わり、数千台のデバイスが Linux.Proxy.10 に感染しているということがDoctor Webのウイルスアナリストによって明らかになりました。この悪意のあるプログラムは感染したデバイス上で SOCKS5 プロキシサーバーを動作させるよう設計されています。サイバー犯罪者はこのサーバーを用いてインターネット上での匿名性を確保していました。その1カ月後、 Trojan.Mirai.1 が発見されました。このWindows向けトロイの木馬はLinuxデバイスを感染させることができます。
5月、 Linux.LuaBot ファミリーに属する、複雑でマルチコンポーネントなLinux向けトロイの木馬が新たに登場し、Doctor Webのスペシャリストによる調査が行われました。この悪意のあるプログラムは31のLuaスクリプトと2つの追加モジュールで構成され、それぞれが独自の機能を実行します。Intel x86(およびIntel x86_64)、 MIPS、 MIPSEL、 Power PC、 ARM、 SPARC、 SH4、 M68kのアーキテクチャを搭載するデバイスを感染させることができ、それはすなわち、コンピューターのみでなく、ルーターやセットアップボックス、ネットワークストレージ、IPカメラ、その他の「スマート」デバイスを幅広く感染させることができるということを意味します。
7月には Linux.MulDrop.14 のシグネチャがDr.Webウイルスデータベースに追加されました。このトロイの木馬は仮想通貨をマイニングするアプリケーションを感染させたデバイス上にインストールします。また、同時期に、感染させたデバイス上でプロキシサーバーを動作させる悪意のあるプログラムである Linux.ProxyM について、セキュリティリサーチャーによる調査が行われています。このトロイの木馬による攻撃が始まったのは2017年2月でしたが、5月下旬以降に活発化しています。攻撃を受けたIPアドレスの多くがロシアのものとなっており、その後に中国、台湾が続いています。
その後間もなくして、サイバー犯罪者は Linux.ProxyM を使用してスパムやフィッシングメールを送信するようになりました。これらのメールの多くは電子文書で使用する DocuSign サービスからのものを装っていました。Doctor Webの統計によると、 Linux.ProxyM に感染したデバイスからは1日に平均して約400通のメールが送信されています。2017年の秋、サイバー犯罪者は Linux.ProxyM をまた新たな目的で使用しているということが明らかになりました。Webサイトのハッキングです。ハッキングには様々な手法が用いられています。 SQLインジェクション(悪意のあるSQLコードをWebサイトデータベースへのリクエストに挿入する)、 XSS(クロスサイトスクリプティング。Webページに悪意のあるスクリプトを追加し、ページが開かれると実行されるようにする攻撃方法)、ローカルファイルインクルード攻撃(LFI)です。以下のグラフはトロイの木馬による攻撃数を示しています。
また、11月には新たなバックドアが検出され、 Linux.BackDoor.Hook.1 と名付けられました。このバックドアはサイバー犯罪者から受けとったコマンドで指定されたファイルをダウンロードし、アプリケーションを起動、または特定のリモートホストに接続することができます。
Linuxを標的とした脅威の数は徐々に増加しており、この傾向は2018年も続くものと考えられます。
MAC OSを標的とする悪意のあるプログラム
2017年を通して、Dr.WebのウイルスデータベースにはAppleデバイスを感染させる、 Mac.Pwnet、 Mac.BackDoor.Dok、 Mac.BackDoor.Rifer、 Mac.BackDoor.Kirino、 Mac.BackDoor、 MacSpyなどの様々な悪意のあるプログラムのシグネチャが追加されています。 Mac.BackDoor.Systemd.1 は、2017年に検出された、そのようなプログラムの1つです。このバックドアは次のコマンドを実行します:
- 指定されたディレクトリのコンテンツ一覧を受け取る
- ファイルを読み込む
- ファイルに書き込む
- ファイルのコンテンツを取得する
- ファイルやフォルダを削除する
- ファイルやフォルダの名前を変更する
- ファイルやフォルダの権限を変更する (chmodコマンド)
- ファイルの所有者を変更する (chownコマンド)
- フォルダを作成する
- bashシェルでコマンドを実行する
- トロイの木馬をアップデートする
- トロイの木馬を再インストールする
- C&CサーバーのIPアドレスを変更する
- プラグインをインストールする
この脅威に関する詳細については、こちらの記事をご覧ください。
危険なサイトと非推奨サイト
Parental (Office) Controlのデータベースには、Doctor WebのスペシャリストによってWebサイトのアドレスが定期的に追加されています。それらは潜在的に危険であると考えられるWebサイトや、ユーザーに対して推奨されないWebサイト、すなわち詐欺サイトやフィッシングサイト、悪意のあるソフトウェアを拡散するサイトのアドレスです。以下のグラフは2017年にデータベース追加されたアドレス数の推移を表しています。
ネットワーク詐欺
インターネット詐欺は比較的多く発生しており、その手口は年々巧妙化しています。2017年に最も多く使われた手法は、いわゆる「八百長」でした。サイバー犯罪者は「スポーツの試合結果について信頼性の高い検証された情報」を売るための特別なWebサイトを作り、買い手はその情報を使用して必ず賭けに勝つことができると謳います。2017年の春にはこの手法が進化し、買い手にパスワード保護された自己解凍形式のRARアーカイブをダウンロードさせるようになっています。このアーカイブには試合結果の書かれたテキストファイルが含まれていて、パスワードは試合終了後に送信されることになっています。これによりユーザーは予測と実際の結果を比べることができるとされています。しかしながら、実際に被害者がダウンロードするのはアーカイブではなく、サイバー犯罪者によって作成されたプログラムです。このプログラムは一見自己解凍形式のRARアーカイブと何の違いもありません。この偽の「アーカイブ」にはテキストファイルのテンプレートが含まれています。そこには、特別なアルゴリズムを使用して、ユーザーがどのパスワードを入力したかに応じて該当する試合結果が挿入されます。サイバー犯罪者は試合終了後に被害者に対して適切なパスワードを送信するだけでよいのです。該当する結果のテキストファイルが「アーカイブ」から「抽出され」ます(実際はテンプレートをベースにトロイの木馬によって生成されます)。
2017年には、サイバー犯罪者は通常のユーザーのみでなく、Webサイトの所有者をも騙そうとしていました。使用されたのはYandexからのものを装ったメールをサイト所有者に送信するという手法です。メールの配信にはドメイン登録データベースのメールアドレスが使用されているものと考えられます。メッセージの内容はサイトを検索結果の上位に表示させることを提案するものでした。そのために、サイバー犯罪者は500を超えるWebページを作成しており、それらのページはDoctor Webのスペシャリストによって非推奨サイトのリストに追加されました。
Yandexを装ったメールのほか、ロシアのドメイン名レジストリである「RU-CENTER」を装ったメールも配信されています。サイバー犯罪者は、ドメイン管理者に対してICANNの規則に変更があったと告げ、特定のコンテンツを含んだPHPファイルをルートディレクトリ内に作成するよう提案します。このファイルを作成することによって、ドメインを使用する権限が確定されると考えられます。ルートディレクトリに保存するよう指示されたファイルには、変数で指定された任意のコードを実行するコマンドが含まれています。
インターネットユーザーを罠にかけるために多く用いられているその他の手法は、少額の手数料で大金を手に入れることができると約束するというものです。Doctor Webでは、保険金の支払いを受けるために個人口座保険番号 (SNILS) またはパスポート番号を入力させる、そのような手法について報告しています。
サイバー犯罪者は、ユーザーを騙して不正に収益を得るための新たな手法を今後も編み出していくものと考えられます。
モバイルデバイス
モバイルデバイスは、サイバー犯罪者にとって依然として魅力的な標的となっています。2017年にも、悪意のあるプログラムや望まないプログラムが数多く出現しました。サイバー犯罪者の主な目的の一部として、不正に収益を得ること、ならびに個人情報を盗むことが挙げられます。
これまで同様、金融機関利用者の口座へのアクセスを取得して密かに金銭を盗むバンキング型トロイの木馬が、最も深刻な脅威の1つとなっています。そのようなトロイの木馬の中でも注目に値するのが、無害なプログラムに組み込まれてGoogle Playから拡散されていた Android.Banker.202.origin です。 Android.Banker.202.origin の特徴は、攻撃を複数の段階に分けて行うという点にあります。起動されると、 Android.Banker.202.origin は内部に隠された Android.Banker.1426 と呼ばれるトロイの木馬を抽出し、このトロイの木馬がさらに別のバンキング型トロイの木馬をダウンロードします。このトロイの木馬がユーザーの口座にアクセスするために必要なログインやパスワード、その他の機密情報を盗みます。
Android.BankBot.233.origin もまた、同様の機能を持つバンキング型トロイの木馬です。 Android.BankBot.233.origin は自身のリソース内に隠された Android.BankBot.234.origin を密かにインストール・起動します。 Android.BankBot.234.origin はGoogle Playの起動を追跡し、クレジットカード情報を入力させるための偽の決済フォームを表示させます。 Android.BankBot.233.origin には、デバイスのAccessibility Serviceへのアクセス取得を試みるという特徴があります。このサービスを使用することで、 Android.BankBot.233.origin はスマートフォンやタブレット、ならびにそれらの機能を完全にコントロールし、別のトロイの木馬を密かにインストールすることが可能になります。
Android.BankBot.211.origin もまた、AndroidのAccessibility Serviceを利用する危険なバンキング型トロイの木馬です。このトロイの木馬は、自力でデバイス管理者権限を取得し、自身をデフォルトのSMSマネージャーとして設定します。画面上で行われたすべての操作を記録し、すべてのキーストロークのスクリーンショットを撮り、ログインとパスワードを盗むためのフィッシングウィンドウを表示させ、その他の機密情報をサイバー犯罪者に送信します。
Accessibility Serviceの使用は、2017年にAndroid向けトロイの木馬が遂げた主要な進化となっています。これにより、悪意のあるプログラムはより危険なものになりました。
様々なアプリケーションを密かにダウンロードして起動させるトロイの木馬も忘れてはいけません。そのうちの1つが、1月に検出された Android.Skyfin.1.origin です。このトロイの木馬はPlay Storeのプロセス内とGoogle Playからダウンロードされるソフトウェア内に侵入し、Google Playアプリケーションのインストール数を増やします。7月、 Android.Triada.231 が検出され、Doctor Webのセキュリティリサーチャーによる調査が行われました。Androidデバイスの複数のモデルのシステムライブラリ内に埋め込まれたこのトロイの木馬は、動作中のあらゆるプログラムのプロセスに自身を挿入し、C&Cサーバーから受け取ったコマンドで指定された悪意のあるモジュールを密かにダウンロード・起動させることができます。このようなプロセスインジェクションの手法は2016年より使用されており、Doctor Webのスペシャリストは、この攻撃ベクトルは今後も用いられていくものと考えています。
2017年、Androidスマートフォンやタブレットのユーザーは再びアドウェアの攻撃を受けました。そのうちの1つである Android.MobiDash.44 は、人気のゲームのアプリケーションガイドとしてGoogle Playから拡散されていました。このトロイの木馬は広告を表示させ、悪意のある追加のコンポーネントをダウンロードします。そのほか、不要な広告モジュールが新たに検出されています。 Adware.Cootek.1.origin と名付けられたそのうちの1つは、人気のあるキーボードアプリケーションに埋め込まれ、同じくGoogle Playから拡散されていました。 Adware.Cootek.1.origin は広告や様々なバナーを表示させます。
2017年には、ランサムウェア型トロイの木馬が再びモバイルデバイスユーザーに対する深刻な脅威となりました。これらの悪意のあるアプリケーションは、感染させたスマートフォンやタブレットをロックし、ロック解除するための身代金を要求します。要求される身代金は数百ドルから数千ドルに上る場合があります。過去12カ月の間に、Android向けDr.Webアンチウイルス製品によってユーザーのデバイス上で177,000件を超えるランサムウェア型トロイの木馬が検出されています。
Android.Locker.387.origin は2017年に検出されたAndroid向けランサムウェアの1つで、バッテリーのパフォーマンスを最適化するプログラムに潜んで拡散されていました。また別のAndroid向けランサムウェア Android.Encoder.3.origin はデバイスの画面をロックするだけでなく、ファイルを暗号化します。そのほか、暗号化に加えて画面ロックの解除パスワードを変更するランサムウェア Android.Banker.184.origin も登場しました。
2017年は、Google Play上で多くの脅威が発見された年となりました。4月には、銀行口座にアクセスするためのログイン認証情報を盗み、確認コードを含んだSMSメッセージを横取りする Android.BankBot.180.origin が検出されています。続けて検出された Android.Dvmap.1.origin は、悪意のあるコンポーネント Android.Dvmap.2.origin を密かにインストールするためにルート権限を取得しようと試みます。この Android.Dvmap.2.origin によって、トロイの木馬の他のモジュールがダウンロードされます。
7月初旬には、追加のコンポーネントを密かにダウンロード・インストールする Android.DownLoader.558.origin がGoogle Play 上で検出されました。同月には、SMSメッセージを盗む悪意のあるプラグインをダウンロードする Android.RemoteCode.85.origin も登場しています。
秋には、感染させたスマートフォンやタブレットをプロキシサーバーとして動作させる Android.SockBot.5 がGoogle Play 上で検出されています。その後、様々なプログラムをインストールするようユーザーを誘導するトロイの木馬 Android.DownLoader.658.origin が発見されました。Google Play上ではリスクウェア Program.PWS.1 も検出されています。このアプリケーションは、ウクライナでブロックされているWebサイト「VK」および「Odnoklassniki」へのアクセスを可能にするものですが、ログイン認証情報やその他のデータを暗号化せずに送信します。この脅威に関する詳細については、こちらの記事をご覧ください。
2017年、Androidデバイスのユーザーはスパイウェアによる攻撃も受けました。 Android.Chrysaor.1.origin、 Android.Chrysaor.2.origin、 Android.Lipizzan.2 はオンライン通信プログラムやSMSメッセージからやり取りを盗むほか、デバイスの位置情報を追跡し、その他の機密データをサイバー犯罪者に送信します。また別のスパイウェア Android.Spy.377.origin は Telegram プロトコル経由で様々なコマンドを受け取り、それらを実行します。コマンドの中には、予め設定されたテキストでサイバー犯罪者によって指定された番号に対してSMSを送信する、入手可能なすべてのファイルに関する情報を収集しサイバー犯罪者の要求に応じてC&Cサーバーに送信する、などが含まれています。そのほか、 Android.Spy.377.origin は電話をかけたり、スマートフォンやタブレットの位置情報を追跡したりする機能も備えています。
2017年には、仮想通貨 Monero をマイニングする Android.CoinMine.3 など、新たなマイニング型トロイの木馬も検出されました。
今後の傾向と予測
これまで同様、暗号化ランサムウェアとバンキング型トロイの木馬が最も危険なトロイの木馬となっています。今後、OSやネットワークプロトコルのエラーまたは脆弱性を悪用する新たな暗号化ランサムウェアが出現するものと考えられます。
Linuxを搭載した「スマート」デバイスに対する脅威の深刻な増加が予測されます。そのようなデバイスの数は次第に増加しており、低価格化も相まって、「IoT (モノのインターネット)」が通常のユーザーだけでなくサイバー犯罪者をも惹きつけるようになることは避けられないでしょう。
モバイルデバイスを狙ったサイバー犯罪者の活動には現時点で減少傾向は認められず、2018年もAndroidを標的とする悪意のあるプログラムの数が減少することはないと考えられます。あらゆるセキュリティ対策を尽くしてもなお、Google Playや一部のデバイスのファームウェア内にはAndroidスマートフォンやタブレット向けのトロイの木馬が侵入するでしょう。ブロッカーやエンコーダのほか、金融機関の口座から直接金銭を盗むことのできるバンキング型トロイの木馬が最も危険なトロイの木馬となることが予測されます。
メールに含まれて拡散されるダウンローダ型トロイの木馬については、 VBScript、 Java Script、 Power Shellで書かれた小さなスクリプトが主流になるものと考えられます。現時点ですでに、メールに含まれた多くのスクリプトがDr.Webアンチウイルス製品によって検出されています。また、ユーザーの同意なしに仮想通貨をマイニングする新しい手法が登場するものと予測されます。2018年も情報セキュリティに対する脅威の数が減少することはないということに疑いの余地はありません。
22.12 Doctor Web、Windows向けの新たなバックドアについて調査
2017年12月22日
株式会社Doctor Web Pacific
BackDoor.Anunak.142 と名付けられたこのトロイの木馬は、暗号化されたパッケージを生成することでC&Cサーバーと情報をやり取りします。各パッケージのヘッダと送信されるデータのブロックは別々に暗号化されます。この新たなバックドアは64ビット版のWindowsを搭載したデバイスを感染させますが、32ビット版の亜種も存在し、そのシリアル番号は124です。
BackDoor.Anunak.142 は感染したデバイス上で次の動作を行うことができます。
- 特定のリモートサーバーからファイルをダウンロードする
- ファイルをリモートサーバーにアップロードする
- 感染したデバイス上でファイルを実行する
- cmd.exeコンソールでコマンドを実行する
- ポート間でトラフィックをリダイレクトする
- 自身のモジュールをダウンロード・インストールする
BackDoor.Anunak.142 のシグネチャはすでにDr.Webのウイルスデータベースに追加されています。そのため、Dr.Webユーザーに危害が及ぶことはありません。
| BackDoor.Anunak.142の詳細(英語) |
07.12 Doctor Web、IoTを利用したWebサイトのハッキングについて警告
2017年12月7日
株式会社Doctor Web Pacific
Linux.ProxyM はLinuxを標的とする悪意のあるプログラムで、感染させたデバイス上でSOCKSプロキシサーバーを起動させます。このプロキシサーバーを使用することで、サイバー犯罪者は匿名で犯罪行為を働くことができます。このトロイの木馬には、 x86、 MIPS、 MIPSEL、 PowerPC、 ARM、 Superh、 Motorola 68000、 SPARCアーキテクチャのデバイスを対象としたものが存在するということが確認されています。すなわち、 Linux.ProxyM はルーターやセットトップボックス、その他の類似した機器など、ほとんどすべてのLinuxデバイスを感染させることが可能です。
9月、サイバー犯罪者は Linux.ProxyM を使用して、感染させたそれぞれのデバイスから1日につき400を超えるスパムメッセージを送信しているということが、Doctor Webのセキュリティリサーチャーによって明らかになりました。メールには、アダルトコンテンツを掲載するサイトや疑わしい金融サービスの広告が含まれていました。その後間もなくして、サイバー犯罪者は「IoT (Internet of Things、モノのインターネット)」を利用してフィッシングメールを拡散するようになりました。メールは、ユーザーが電子文書をダウンロード・表示させ、署名を行い、ステータスを追跡することを可能にするサービスであるDocuSignからのものを装っています。
ユーザーがメール内のリンクをクリックすると、偽のDocuSignサイトの認証フォームが開きます。パスワードを入力すると、ユーザーは本物のDocuSign認証ページにリダイレクトされ、一方で、偽のフォームに入力された内容はサイバー犯罪者に送信されます。
12月、サイバー犯罪者は Linux.ProxyM に感染したデバイスを新たな目的で使用しているということが明らかになりました。トロイの木馬のプロキシサーバーを利用することで匿名性を維持し、多くのWebサイトに対してハッキングを試みるというものです。これには様々なハッキング手法が用いられています。SQLインジェクション(悪意のあるSQLコードをWebサイトデータベースへのリクエストに挿入する)、XSS(クロスサイトスクリプティング。Webページに悪意のあるスクリプトを追加し、ページが開かれると実行されるようにする攻撃方法)、ローカルファイルインクルード攻撃(LFI)です。このような攻撃は、犯罪者が特別に作成したコマンドを使用して攻撃対象のサーバー上にあるファイルをリモートで読むことを可能にします。攻撃を受けたWebサイトには、ゲームサーバーやフォーラム、そしてロシアのサイトを含むその他のトピックを扱うリソースが含まれています。
Doctor Webのセキュリティリサーチャーは Linux.ProxyM ボットネットの活動について監視を続けています。以下のグラフはトロイの木馬による攻撃数を示しています。
Linux.ProxyM にはプロキシサーバーという1つの機能しか備わっていませんが、サイバー犯罪者は「IoT (Internet of Things、モノのインターネット)」への関心を一層高め、このトロイの木馬を利用して違法行為を働く新たな機会をうかがっています。
2017年11月30日
株式会社Doctor Web Pacific
11月には、Google Play上で新たな悪意のあるアプリケーションが多数検出されました。
11月初旬、モバイルデバイスの容量を使用して仮想通貨をマイニングするマイニング型トロイの木馬が検出され、その後、ユーザーを有料サービスに登録するSMS型トロイの木馬が発見されました。11月中旬には、追加のモジュールをダウンロードする悪意のあるプログラムがDoctor Webのスペシャリストによって検出されました。これらのモジュールはWebサイトを開いて広告やリンクをタップします。また、様々なアプリケーションをダウンロードするよう設計されたトロイの木馬がGoogle Playから拡散されていました。そのほか、同じくGoogle Play上でAndroid向けバンキング型トロイの木馬が検出されています。これらのトロイの木馬はユーザーの個人情報と銀行口座のお金を盗むよう設計されていました。
11月の主な傾向
- 無害なアプリケーションに組み込まれたトロイの木馬を多数Google Play上で検出
11月のモバイル脅威
11月、Doctor Webのセキュリティスペシャリストは Android.RemoteCode.106.origin を含んだ9つのアプリケーションをGoogle Play上で発見しました。これらのアプリケーションは少なくとも237万件ダウンロードされています。 Android.RemoteCode.106.origin は追加の悪意のあるモジュールをダウンロードして起動させます。それらのモジュールはコントロールサーバーによって指定されたWebサイトを自動的に開き、広告やリンクをタップします。この脅威の詳細についてはこちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.HiddenAds.238
- モバイルデバイス上に望まない広告を表示するよう設計されたトロイの木馬です。
- Android.Triada.63
- Android.Triada.152
- 様々な悪意のある機能を実行するトロイの木馬です。
- Android.DownLoader.653.origin
- 別のマルウェアをダウンロードするよう設計されたトロイの木馬です。
- Android.Click.171.origin
- サイバー犯罪者によって指定されたWebサイトを定期的にリクエストするよう設計されたトロイの木馬ファミリーで、トラフィックを増やすためや広告リンクを辿るために使用されます。
- Adware.Jiubang.2
- Adware.Jiubang.1
- Adware.Adviator.6.origin
- Adware.Airpush.31.origin
- Adware.SalmonAds.1.origin
- Androidアプリケーションに組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
マイニング型トロイの木馬
11月初旬、Google Play上で Android.CoinMine.3 が検出されました。Androidモバイルデバイスの容量を使用して仮想通貨Moneroをマイニングするこのマルウェアは、Club CooeeオンラインチャットにアクセスするためのアプリケーションXCOOEEPに潜んでいました。
Android.CoinMine.3 は、自動的に実行されるマイニングスクリプトを含んだWebサイトをユーザーには見えないWebViewウィンドウ内で開きます。集中的なマイニングプロセスの結果、感染したモバイルデバイスのパフォーマンスは低下し、デバイスが熱を持ち、バッテリーの減りが早くなる可能性があります。
SMS型トロイの木馬
11月には、複数のSMS型トロイの木馬がGoogle Playから拡散されました。 Android.SmsSend.23371、 Android.SmsSend.23373、 Android.SmsSend.23374としてDr.Webに検出されるそれらトロイの木馬は、アプリケーションSecret Notepad、 Delicate Keyblard、 Super Emotionに組み込まれていました。これらトロイの木馬は高額なメッセージを送信し、ユーザーを望まないサービスに登録します。
ダウンローダ型トロイの木馬
11月、 Android.DownLoader.658.origin の新たな亜種がGoogle Play上で発見されました。このトロイの木馬はサイバー犯罪者の指示に従って、様々なアプリケーションをダウンロード・インストールするようユーザーに提案します。また、それだけでなく、自力でソフトウェアをダウンロードすることもできます。 Android.DownLoader.658.origin は次のような特徴を備えています:
- 無害なアプリケーションに組み込まれている
- いくつかの条件(エミュレーター上で動作している、デベロッパー向けの機能がモバイルデバイス上でオフになっている、など)が満たされた場合のみ悪意のある動作がアクティベートされる
- プログラムのダウンロード・インストールに関する通知を表示させる
- 検出・解析されることを防ぐため、トロイの木馬の作成者は Android.Packed.1 として検出される特別なパッカーを使用している
バンキング型トロイの木馬
11月、Google Play上でトロイの木馬 Android.Banker.202.origin が検出されました。このトロイの木馬は無害なアプリケーションに潜んでいました。起動されると、悪意のある複数のコンポーネントを自身のリソースフォルダから抽出し、悪意のあるプログラム Android.Banker.1426 を起動させます。次に、このトロイの木馬がコントロールサーバーから Android.BankBot ファミリーに属するAndroid向けバンキング型トロイの木馬をダウンロードしますが、のマルウェアはログインや認証情報、その他の機密情報を盗むよう設計されています。
11月には同じくGoogle Play上で Android.Banker ファミリーに属する複数のトロイの木馬が検出されており、これらトロイの木馬でも同様の手法が用いられています。すなわち、これらトロイの木馬は隠された悪意のあるコンポーネントを抽出して起動させ、このコンポーネントもまた、自身のファイルリソースから別のトロイの木馬コンポーネントを抽出して起動させます。そしてそのコンポーネントが、リモートロケーションからバンキング型トロイの木馬をダウンロード・インストールしようと試みます。
Google Play上で悪意のあるアプリケーションが多数発見されているという事実は、サイバー犯罪者がその防御メカニズムをすり抜ける新しい方法を未だ編み出し続けているということを示しています。Doctor Webでは、モバイルデバイスをトロイの木馬や不要なプログラムから守るためにAndroid向けのDr.Webアンチウイルス製品をインストールすることをお勧めしています。
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2017年11月30日
株式会社Doctor Web Pacific
11月、Doctor Webのスペシャリストはバンキング型トロイの木馬 Trojan.Gozi ファミリーの新たな亜種について調査を行いました。これまでの亜種と異なり、この新たなトロイの木馬は1組のモジュールで構成され、コントロールサーバーのドメイン名を生成するためのアルゴリズムを持ちません。サーバーのアドレスは設定内にハードコードされています。
また、11月にはLinux向けの新たなバックドアと、複数の詐欺サイトが発見されています。サイバー犯罪者は存在しない公的基金の名を語ってインターネットユーザーから金銭を巻き上げる目的でこれらのサイトを使用していました。
11月の主な傾向
- 新たなバンキング型トロイの木馬の出現
- Linux向けの新たなバックドアの拡散
- 新たなインターネット詐欺手法が出現
11月の脅威
Goziファミリーはセキュリティリサーチャーにとって馴染みの深いバンキング型トロイの木馬です。その亜種の1つは、コントロールサーバーのアドレスを生成するための辞書としてNASAサーバーからダウンロードしたテキストファイルを使用することで有名です。 Trojan.Gozi.64 と名付けられた、このバンキング型トロイの木馬の新たなバージョンは、32ビット版と64ビット版のWindows 7以降を搭載するコンピューターを感染させ、それよりも古いバージョンでは動作しません。
Trojan.Gozi.64 の主要な目的はWebインジェクションを実行することです。すなわち、このトロイの木馬はユーザーが開いたWebページに任意のコンテンツ―例えば、銀行のWebサイトやオンラインバンキング上に表示される偽の認証フォームなど―を挿入することができるということを意味しています。
Webページの改ざんは感染したコンピューター上で直接行われているため、ブラウザのアドレスバーには正しいURLが表示されます。このことが、ユーザーの判断を誤らせ、警戒を解かせる要因となっていると考えられます。偽のフォームに入力されたデータはサイバー犯罪者に送信され、ユーザーの口座が被害にあう結果へと繋がります。
Trojan.Gozi.64 に関する詳細については、こちらの記事をご覧ください。Dr.Web Anti-virusによる統計
- Trojan.DownLoader
- 感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
- Trojan.Starter.7394
- 感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。
- Trojan.Encoder.11432
- WannaCryとして知られるマルチコンポーネントなネットワークワームです。ユーザーの操作なしにMicrosoft Windows搭載コンピューターを感染させることができます。感染させたコンピューター上のファイルを暗号化して身代金を要求します。テストファイルとその他のファイルは異なるキーを使用して復号化されるため、身代金を支払ったとしても、暗号化されてしまったデータが復元されるという保証はありません。
- Trojan.Zadved
- ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。
Doctor Web統計サーバーによる統計
- Trojan.DownLoader25.54584, Trojan.DownLoad3.46852
- 感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。
- Trojan.Inject
- 他のプログラムのプロセス内に悪意のあるコードを挿入する、悪意のあるプログラムのファミリーです。
- PowerShell.DownLoader
- PowerShellで書かれた悪意のあるファイルのファミリーで、コンピューター上に別のマルウェアをダウンロード・インストールするよう設計されています。
メールトラフィック内で検出された脅威の統計
- Trojan.DownLoader
- 感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。
- PowerShell.DownLoader
- PowerShellで書かれた悪意のあるファイルのファミリーで、コンピューター上に別のマルウェアをダウンロード・インストールするよう設計されています。
- JS.Inject
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。
- Trojan.Inject
- 他のプログラムのプロセス内に悪意のあるコードを挿入する、悪意のあるプログラムのファミリーです。
Dr.Web Bot for Telegramによって収集された統計
- Android.HiddenAds.200.origin
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Locker
- Androidを標的とするランサムウェア型トロイの木馬のファミリーです。これらトロイの木馬の様々な亜種はデバイスをロックし、ユーザーが違法行為を犯したとする警告を表示させます。ユーザーはデバイスのロックを解除するために身代金を支払うよう要求されます。
- Android.Spy.337.origin
- ユーザーのパスワードなど個人情報を盗むAndroid向けトロイの木馬です。
- Joke.Locker.1.origin
- Androidデバイスのホーム画面をロックし、Microsoft WindowsのBSOD (Blue Screen of Death:ブルースクリーン)エラーを表示させるジョークプログラムです。
暗号化ランサムウェア
2017年11月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.3953 — リクエストの17.88%
- Trojan.Encoder.858 — リクエストの8.39%
- Trojan.Encoder.11539 — リクエストの6.39%
- Trojan.Encoder.567 — リクエストの5.66%
- Trojan.Encoder.3976 — リクエストの2.37%
- Trojan.Encoder.761 — リクエストの2.37%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します
危険なWEBサイト
2017年11月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は331,895件となっています。
| 2017年10月 | 2017年11月 | 推移 |
|---|---|---|
| +256,429 | +331,895 | +29.4% |
11月、Doctor Webはロシアで横行しているインターネット詐欺の手口に関する記事を掲載しました。「地域間社会基金」が所有するとされるWebサイトにつながるリンクを含んだスパムが拡散されているというものです。サイバー犯罪者は存在しないロシア連邦政府法令192号を引き合いに出し、Webサイトの訪問者に対して、保険会社から支払いを受けることができるかどうかを確認するよう提案しています。その際、訪問者は個人口座保険番号 (SNILS)またはパスポート番号の提示を求められます。どのようなデータを入力しても(任意に並べた番号であっても)、被害者は、数百ルーブルの高額な保険金支払いを受けることができると告げるメッセージを受け取ります。ただし、これらの金額を引き出すために被害者は「データベースへのアクセス」費用を要求されます。
Doctor Webのスペシャリストは、「地域間社会基金」Webサイトのサーバー上で、他の多くの詐欺プロジェクトを発見しています。詳細についてはこちらの記事をご覧ください。
LINUXを標的とするマルウェア
11月後半、Doctor Webのセキュリティリサーチャーは、 Linux.BackDoor.Hook.1 と名付けられた、Linux向けの新たなバックドアについて分析を行いました。このトロイの木馬はサイバー犯罪者から受け取ったコマンドで指定されたファイルをダウンロードし、アプリケーションを起動、または特定のリモートホストに接続することができます。 Linux.BackDoor.Hook.1 に関する詳細についてはこちらの記事をご覧ください。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
11月、Doctor WebのセキュリティリサーチャーはGoogle Play上で Android.RemoteCode.106.origin を発見しました。このトロイの木馬は悪意のある追加のモジュールをダウンロードし、これらのモジュールがWebサイトを開いて広告やリンクをタップします。Google Play上ではそのほかにも高額なメッセージを送信する Android.SmsSend ファミリーが発見され、感染させたモバイルデバイスを利用して仮想通貨 Monero をマイニングする Android.CoinMine.3 が拡散されていました。さらに、 Android.Banker ファミリーに属するバンキング型トロイの木馬も多数、Google Play上で検出されています。これらのバンキング型トロイの木馬はユーザーの個人情報と銀行口座のお金を盗むよう設計されています。
11月の注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- Google Play上で多数のトロイの木馬を検出
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
