2019年2月4日

株式会社Doctor Web Pacific

2019年1月、多くのマルウェアがAndroidデバイスを攻撃しました。1月上旬にはサイバースパイ行為を行うために設計されたトロイの木馬 Android.Spy.525.origin についてDoctor Webのウイルスアナリストによる調査が行われ、その後、複数のアドウェア型トロイの木馬が発見され、 Android.HiddenAds.361.origin および Android.HiddenAds.356.origin と名付けられました。また、ブックメーカーの公式アプリケーションを装って拡散される Android.Click ファミリーに属する新たなクリッカーが複数検出されたほか、スマートフォンやタブレット上にAndroidバンカーをダウンロードする Android.DownLoader ファミリーに属するダウンローダ型トロイの木馬も拡散されています。

1月のモバイル脅威

1月上旬、スパイウェア Android.Spy.525.origin がDr.Webのウイルスデータベースに追加されました。このスパイウェアは便利なアプリケーションを装ってGoogle Playから拡散されていたほか、訪問者をポピュラーなファイル共有リソース MediaFire にリダイレクトする悪質なWebサイトからも拡散されていました。 MediaFire にはトロイの木馬のコピーが置かれています。

Android.Spy.525.origin はC&Cサーバーからのコマンドに従って感染したスマートフォンやタブレットの位置情報を追跡し、テキストメッセージの履歴を盗み、通話に関する情報や電話帳のデータ、デバイスに保存されたファイルを取得し、フィッシングウィンドウを表示させることができます。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.RemoteCode.197.origin

任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。

Android.HiddenAds.261.origin

Android.HiddenAds.659

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.Mobifun.4

様々なアプリケーションをダウンロードするトロイの木馬です。

Adware.Zeus.1

Adware.AdPush.29.origin

Adware.Patacore.1.origin

Adware.Patacore.168

Adware.Jiubang.2

Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。

Google Play上の脅威

1月には Android.Spy.525.origin の他にもGoogle Play上で脅威が発見されています。初旬には Android.HiddenAds.361.origin と Android.HiddenAds.356.origin がウイルスデータベースに追加されました。これら悪意のあるプログラムは2018年12月の記事で紹介した Android.HiddenAds.343.origin の亜種で、便利なプログラムを装って拡散されていました。起動されると、自身のアイコンを隠し、広告を表示させます。

そのほか、Doctor Webのマルウェアアナリストは様々なダウンローダについて調査を行いました。 Android.DownLoader.4063、 Android.DownLoader.855.origin、 Android.DownLoader.857.origin、 Android.DownLoader.4102、 Android.DownLoader.4107 と名付けられたそれらトロイの木馬は、通貨コンバータや公式バンキングアプリケーションなどの便利なプログラムを装って拡散されていました。これらのトロイの木馬は、金融機関の口座から機密情報と金銭を盗むよう設計されたAndroidバンカーをモバイルデバイス上にダウンロードし、インストールしようと試みます。

そのようなバンキング型トロイの木馬の1つ Android.BankBot.509.origin は、2018年12月に報告した Android.BankBot.495.origin の亜種です。このバンカーはアクセシビリティサービスを使用してボタンやメニュー項目を自動的にタップすることで、インストールされているアプリケーションを密かに操作しようとします。 Android.BankBot.508.origin と名付けられたまた別のトロイの木馬はフィッシングウィンドウを表示させ、ユーザーの認証情報やその他の個人情報を盗もうとします。また、取引に必要な確認コードを含んだテキストメッセージを横取りします。

1月下旬、Doctor Webのエキスパートは Android.Click.651、 Android.Click.664、 Android.Click.665、 Android.Click.670を含む、 Android.Click ファミリーに属する新たなクリッカー型トロイの木馬を発見しました。ブックメーカーの公式アプリケーションを装って拡散されるこれらトロイの木馬は、C&Cサーバーからのコマンドに従って任意のWebサイトをロードすることが可能であることから、深刻な脅威となっています。

Doctor Webのスペシャリストはモバイルデバイスを狙ったウイルスの状況について監視を続け、悪意のあるプログラムや不要なプログラムを検出・削除するためにDr.Webウイルスデータベースを即時にアップデートしています。したがって、Dr.Web for Androidによって保護されているスマートフォンやタブレットに危害が及ぶことはありません。

2019年1月24日

株式会社Doctor Web Pacific

ダウンローダ型トロイの木馬は、被害者のデバイスに別のマルウェアをアップロードするために使用されます。 Trojan.DownLoad4.11892 も例外ではありません。インストールされると、悪意のあるソフトウェアをダウンロードし、仮想通貨の保有者から個人データを盗みます。

2018年秋、仮想通貨のマイニングに励む人たちは、仮想通貨の価格を監視するためのツールをインストールするよう提案するメッセージに気が付き始めました。開発者は、このアプリは認定された信頼できる無料のウィジェットであると主張しています。一見したところ、このプログラムには疑わしいところはありません。有効なデジタル署名を持ち、約束された機能を実行します。しかしながら、この一見問題のない動作の裏には罠があります。このプログラムは個人データを盗むのです。

インストールされると、プログラムは開発者の個人用 Github アカウントからダウンロードした悪意のあるコードをコンパイルして実行します。それが完了すると、マルウェア開発者の間で AZORult としても知られる Trojan.PWS.Stealer.24943 を被害者のデバイスにアップロードします。このトロイの木馬は、サイバー犯罪者が大量の個人データ (仮想通貨ウォレットのパスワードを含む) を盗むことを可能にします。

Doctor Webのリサチャーによって発見されたほとんどのケースでは、このマルウェアは仮想通貨のマイニングに特化したフォーラムで英語で拡散されていました。同じく仮想通貨のマイニングに特化したポーランドやロシアのフォーラムからの拡散はそれほど多くありませんでした。

現時点で、このトロイの木馬は複数のファイル共有サービスや前述の Github アカウント上で入手可能な状態となっています。Dr.Web製品はこの種類のマルウェアを検出・削除することができます。ただし、お使いのアンチウイルスのライセンスをタイムリーに更新し、最新のアップデートをすべてインストールすることが推奨されます。

Trojan.DownLoad4.11892の詳細 (英語)

#cryptocurrency #mining #Trojan

2019年1月17日

株式会社Doctor Web Pacific

2018年には、密かに仮想通貨をマイニングするトロイの木馬が拡散され、Microsoft Windowsユーザーのみでなく様々なLinuxデバイスのユーザーも悪意のあるソフトウェアの標的となりました。感染させたコンピューター上でファイルを暗号化し、復元させるための身代金を要求するエンコーダ―も未だ勢いを失ってはいません。2月と4月には、そのようなトロイの木馬のファミリーに属する2つの新たな亜種がDoctor Webのエキスパートによって発見されました。そのうちの1つは、ウイルス作成者の主張に反して、身代金を支払った後もファイルを復元することができませんでした。

2018年3月下旬、Doctor WebはYouTubeから拡散されている Trojan.PWS.Stealer.23012 について調査を行いました。このトロイの木馬はPythonで書かれており、感染したデバイスからファイルやその他の機密情報を盗みます。調査の結果、このマルウェアとその複数の亜種について作成者を特定することができました。また別の調査では、 Trojan.PWS.Steam.13604 を使用してゲームプラットフォーム「Steam」から機密情報を盗んでいた犯罪者が特定されました。 Trojan.PWS.Steam.13604 は、この目的に特化して作成されています。10月には、インターネットユーザーから何万ドルもの金銭を騙し取ったオンライン仮想通貨詐欺の活動について徹底的な調査が行われました。

2018年を通して、サイバー犯罪者はユーザーを偽のWebサイトに誘い込み、迷惑メールを送信していました。2018年の初めには、ユーザーのログインとパスワードを取得しようと試みる Mail.Ru グループからのものを装ったメールが送信され、春には、報酬を提供するとする偽のメールが送信されるようになり、そして夏には、所有するドメイン名の登録を更新するための料金を支払うよう要求する、ホスティングプロバイダ RU-CENTER からのものを装ったメールがドメイン管理者を襲いました。

2018年、Androidモバイルデバイスのユーザーもウイルス作成者の標的となりました。1月には、ダウンロード数450万を超える感染したゲームがGoogle Play上で発見され、その後間もなくして、テレビやストリーミングボックス、ルーター、その他のIoTデバイスなど、スマートデバイスの8%を感染させることのできる、Android向けのマイニングソフトウェアが発見されました。

2018年を通して、マルウェアアナリストは幅広い機能を備えたAndroid向けバンキング型トロイの木馬の拡散についてユーザーに対して注意喚起を行っています。また、ポピュラーなAndroidアプリケーションを装った複数の偽のアプリがフィッシングに使用されているということも明らかになりました。モバイルデバイスを標的とするトロイの木馬の中には、ユーザーを有料サービスに登録させるものや、見えない広告を通じて収益を得るものがあり、さらに、感染したデバイス上に他のマルウェアをダウンロードするものも発見されています。

2018年の最も注目すべきイベント

2018年2月、新たなトロイの木馬エンコーダが発見され、 Trojan.Encoder.24384 としてDr.Webのウイルスデータベースに追加されました。このマルウェアは感染したデバイス上で実行中のアンチウイルスに関する情報を収集し、サイバー犯罪者の用意したリストに従って実行中のプログラムを終了させることができます。 Trojan.Encoder.24384 は、いくつかのサービスフォルダやシステムフォルダを除いて、ハードドライブやリムーバブルメディア、ネットワークドライブ上のファイルを暗号化します。

Trojan.Encoder.25129 と呼ばれるまた別のエンコーダはデバイスのIPアドレスに基づいてユーザーの所在地を確認します。このトロイの木馬は、デバイスがロシア、ベラルーシ、カザフスタンにある場合、またはシステムの言語や地域の設定でロシア語やロシアが設定されている場合にはファイルを暗号化しないよう設計されています。しかしながら、コードのエラーにより、このエンコーダーはIPアドレスの所在地に関係なくすべてのファイルを暗号化します。悪意のある動作を完了すると、トロイの木馬は身代金を要求するウィンドウを表示させます。

残念ながら、このトロイの木馬のコードに含まれるエラーは1つだけではありませんでした。そのエラーが原因となり、暗号化されたファイルを復元することができないということが、やがて明らかになりました。これにより、重要なファイルをタイムリーにバックアップすることの重要性が改めて強調される形となりました。

3月下旬、Pythonで書かれ、機密情報を盗む目的で設計されたスパイウェア Trojan.PWS.Stealer.23012 についてDoctor Webのアナリストによる調査が行われました。このマルウェアと、その複数の亜種は、YouTube動画のコメント内にあるリンクから拡散されていました。それら動画の多くは、特別なアプリケーションを使用した、ゲームでのチーティング方法 (いわゆる「チート行為」) に焦点を当てたもので、Twitter上で積極的に宣伝されています。

1カ月半の後、Doctor Webのエキスパートはこれらトロイの木馬の作成者を特定することに成功しました。このマルウェアとその亜種は、Chromeブラウザに保存されたパスワードとCookieを盗むほか、 Telegram、 FileZilla FTPクライアントから情報を盗み、事前に指定されたリストに従って画像やOffice文書をコピーします。亜種の1つは、様々なTelegramチャンネルで広く宣伝されていました。盗んだファイルのアーカイブをアップロードするクラウドストレージのログインとパスワードがトロイの木馬に組み込まれていたことが、Doctor Webのウイルスアナリストによるマルウェアの作成者とそのすべてのクライアントの特定に繋がりました。

5月下旬には、ゲームプラットフォーム「Steam」のユーザーから個人情報を盗むスパイウェアの作成者に関するまた別の調査が行われました。この犯罪者は、ボットが勝つようになっている詐欺ルーレット(プレイヤーが様々なゲームアイテムを売ることのできるオークション)やマルウェアの貸出など、収益を得るための複数の手法を用いていました。トロイの木馬の拡散には、ソーシャルエンジニアリングや偽のWebサイトが使用されていました。

スパイウェア Trojan.PWS.Steam.13604 と Trojan.PWS.Steam.15278 の動作原理、およびそれらの作成者に関する詳細については、 こちらの記事をご覧ください。

夏には、悪名高いエンコーダ Trojan.Encoder.12544 (別名Petya、 Petya.A、 ExPetya、 WannaCry-2) と同じ手法を用いて拡散される新たなマイナー Trojan.BtcMine.2869 についてDoctor Webのアナリストによる警告が発表されました。このトロイの木馬は、コンピュータークラブやインターネットカフェを自動化するためのソフトウェアの更新メカニズムを利用してユーザーのコンピューターを感染させていました。2018年5月24日から7月4日の間に2,700台を超えるコンピューターがこのマイナーに感染しています。

9月、Doctor Webのスペシャリストは、Adobe Readerを装って拡散され、ブラジルの金融機関利用者を標的とするバンキング型トロイの木馬 Trojan.PWS.Banker1.28321 を発見しました。

ユーザーがブラジルの様々な金融機関のインターネットバンキングサイトをブラウザのウィンドウで開くと、 Trojan.PWS.Banker1.28321 は密かにWebページを置き換え、偽の認証フォームを表示させます。銀行から受け取ったSMSメッセージに含まれる認証コードを入力するよう要求する場合もあります。入力された情報はサイバー犯罪者に送信されます。Doctor Webのスペシャリストは Trojan.PWS.Banker1.28321 の340を超えるインスタンスを特定し、サイバー犯罪者のインターネットリソースの129のドメインとIPアドレスを発見しました。この脅威に関する詳細については、こちらの記事をご覧ください。

10月中旬には、仮想通貨を狙ったサイバー犯罪者の活動について調査が行われました。犯罪者はEredel、 AZORult、 Kpot、 Kratos、 N0F1L3、 ACRUX、 Predator The Thief、 Arkei、 Ponyなどの幅広いマルウェアを使用し、目的を達成するために本物のインターネットリソースを模倣するフィッシングサイトを複数作成していました。それらサイトの中には偽の仮想通貨取引所や、低価格でレンタルされる存在しない Dogecoin のマイニングプール、Webサイトを見ることで報酬を受け取ることができるというパートナープログラムがあります。

その他のプロジェクトに、 Dogecoin で賞金をもらえるオンライン宝くじがあります。もちろん、参加者が宝くじに当たることはなく、主催者のみが収益を得ることができるようになっています。また、従来のフィッシング手法や広告を含んだWebページを見ることで Dogecoin での報酬を受け取ることができるというアフィリエイトプログラムなどのイニシアチブもあります。ユーザーはクライアントをダウンロードするよう促されますが、実際には、このクライアントがトロイの木馬です。このオンライン詐欺に関する詳細についてはこちらの記事をご覧ください。

11月には、Webサイトのトラフィックを増加させるためのマルウェア Trojan.Click3.27430 が検出されました。このトロイの木馬は、固定IPアドレスを持たないコンピューターにサブドメインを結びつけることを可能にする DynDNS ソフトウェアを装っていました。

Doctor Webの収集したデータによると、2013年に最初の感染が発生してから現在までに約1,400人のユーザーがこのトロイの木馬に感染しています。この脅威に関する詳細についてはこちらの記事をご覧ください。

ウイルスに関する状況

Doctor Web統計サーバーによって収集されたデータによると、2018年には、Webページ内に第三者のコンテンツを埋め込み、仮想通貨をマイニングする悪意のある JavaScript が多く確認されています。また、スパイウェア型トロイの木馬や悪意のあるダウンローダも検出されています。

JS.Inject

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。

JS.BtcMine

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.SpyBot.699

マルチモジュールなバンキング型トロイの木馬です。感染したデバイス上でサイバー犯罪者が様々なアプリケーションをダウンロード・起動し、コマンドを実行することを可能にします。銀行口座から金銭を盗む目的で設計されています。

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

Trojan.Starter.7394

感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。

Trojan.Encoder.567

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬です。

JS.Miner

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

VBS.BtcMine

仮想通貨を密かにマイニングするよう設計されたVBSスクリプトのファミリーです。

メールトラフィックの分析結果でも同様の状況が確認されています。ただし、全体として、メールの添付ファイル内ではスパイウェア型トロイの木馬がより多く検出されています。

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

JS.Inject

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。

JS.BtcMine

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.SpyBot.699

マルチモジュールなバンキング型トロイの木馬です。感染したデバイス上でサイバー犯罪者が様々なアプリケーションをダウンロード・起動し、コマンドを実行することを可能にします。銀行口座から金銭を盗む目的で設計されています。

Trojan.Encoder.567

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬です。

Trojan.DownLoader

感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。

Trojan.PWS.Stealer

感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。

JS.Miner

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

暗号化トロイの木馬

2017年と比較して、2018年には暗号化ランサムウェアに感染したユーザーからDoctor Webのテクニカルサポートに寄せられたリクエストの数に減少が見られました。その数は5月から8月にかけてわずかに増加し、最も問い合わせの少なかった月は1月、最も多かった月は11月となっています。

統計によると、ユーザーのデバイス上で最も多く検出されたのは Trojan.Encoder.858 で、続けて Trojan.Encoder.11464、 Trojan.Encoder.567 となっています。

2018年に最も多く検出されたランサムウェアプログラム：

• Trojan.Encoder.858 — リクエストの19.83%
• Trojan.Encoder.11464 — リクエストの9.64%
• Trojan.Encoder.567 — リクエストの5.08%
• Trojan.Encoder.11539 — リクエストの4.79%
• Trojan.Encoder.25574 — リクエストの4.46%

Linuxを標的とするマルウェア

2018年には、Linuxを標的とする悪意のあるプログラムの多くがマイナーとして登場しました。Linuxサーバーに対するこのような攻撃がDoctor Webのウイルスアナリストによって最初に確認されたのは2018年5月初めのことでした。サイバー犯罪者は、ブルートフォース攻撃でログインとパスワードを探し当て、SSHプロトコル経由でサーバーに接続していました。サーバーでの認証に成功した後、サイバー犯罪者はファイアウォールの動作を管理する iptables ユーティリティを無効にし、続けてサーバー上にマイニングユーティリティとその設定ファイルをダウンロードしていました。その後しばらくして、サイバー犯罪者はこの手法を変化させ、マルウェアを使用するようになりました。8月にはGoで書かれた Linux.BtcMine.82 が発見されています。この Linux.BtcMine.82 は感染したデバイス上にマイナーをインストールするドロッパーです。

このトロイの木馬のダウンロード元となるサイバー犯罪者のサーバーについて調査を行った結果、そこで同様の機能を持つ複数のWindows向けマイナーが検出されました。この脅威に関する詳細についてはこちらの記事をご覧ください。

11月、 Linux.BtcMine.174 と名付けられたまた別のLinuxマイナーが発見されました。このトロイの木馬は1,000行を超えるコードを含んだ大きなシェルスクリプトで、複数のコンポーネントから構成されています。感染したデバイス上で実行中のアンチウイルスプログラムを無効にすることができ、ネットワーク上にある他のデバイスを感染させようとします。また、トロイの木馬 Linux.BackDoor.Gates.9 のバージョンの1つをダウンロードします。このバックドアファミリーはサイバー犯罪者からのコマンドを実行し、DDoS攻撃を行うよう設計されています。

危険なサイトと非推奨サイト

Parental (Office) ControlとSpIDer Gateのデータベースには、非推奨サイトや潜在的に危険であると考えられるサイトのアドレスが定期的に追加されています。それらは詐欺サイトやフィッシングサイト、マルウェアを拡散するサイトのアドレスです。以下のグラフは2018年にデータベース追加されたアドレス数の推移を表しています。

ネットワーク詐欺

インターネット詐欺は広く使用されている犯罪手口です。2018年もオンライン犯罪者の活動は活発なものとなりました。3月初旬、 Mail.Ru グループからのものを装ったフィッシングメールが大量に配信されました。犯罪者は Mail.Ru メールサービスのものを模倣した偽のWebサイトを使用して、 Mail.Ru メールサーバーのユーザーから認証情報を取得しようとしていました。

5月には、SMSやメッセンジャーを介して詐欺サイトへのリンクを拡散するケースが確認されました。被害者は、公共施設や医療サービス、強制保険の過払いに対する補償を受けることができると持ち掛けられます。補償を受けるために少額のお金を送金するよう要求されますが、もちろん、その後ユーザーが金銭を受け取ることはありません。

2018年2月から5月にかけて110を超える同様のWebサイトがDoctor Webのエキスパートによって確認されています。8月には、ホスティングプロバイダ RU-CENTER に登録されたドメイン管理者に対してメールが送信されました。犯罪者は期限切れとなるドメインを更新するために料金を支払うよう要求し、 RU-CENTER 公式の支払い方法ではなく犯罪者の使用する送金サービス Yandex.Money に関する詳細を提示していました。

多くの場合、犯罪者は良く知られた企業を装ってメールを送信します。人気のオンラインストア Aliexpress も例外ではありません。 Aliexpress からのものを装ったメールは、利用者に対して様々な割引やギフトを受けられる特別なオンラインストアにアクセスするよう促すものでした。

この「オンラインストア」は、様々な不正ストア(説明と異なる商品が送られてくる、商品をより高い価格で再販している、人気商品の粗悪な模倣品を販売しているなど)へのリンクを含んだページとなっています。犯罪者が Aliexpress の実際の利用者の連絡先情報が保存されたデータベースをどのようにして入手したのかは未だ明らかになっていません。

モバイルデバイス

2018年、多くのマルウェアがAndroidデバイスのユーザーを襲いました。それらマルウェアの中には、ロシアやトルコ、ブラジル、スペイン、ドイツ、フランスなどの国々でユーザーから金銭を盗もうと試みるバンキング型トロイの木馬が含まれていました。春には、多機能なバンキングアプリケーションを装って拡散され、ロシアの金融機関利用者を攻撃していたトロイの木馬 Android.BankBot.344.origin が発見されました。 Android.BankBot.344.origin はログインとパスワードを使用して既存のモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するようユーザーに促します。ユーザーがデータを入力してしまうと、それらがサイバー犯罪者に送信されます。

11月には、欧州のAndroidデバイスユーザーを標的とする Android.BankBot.495.origin についてDoctor Webのエキスパートによる調査が行われました。このトロイの木馬はSMSメッセージを横取りし、電話番号やその他の機密情報を盗みます。

12月には、ブラジルの金融機関の利用者を攻撃しているトロイの木馬 Android.BankBot.495.origin が発見されました。このトロイの木馬はAndroidのアクセシビリティ機能を使用して実行中のアプリケーションのウィンドウの内容を読み取り、機密情報を犯罪者に送信するほか、ボタンを自動的にタップしてプログラムの動作をコントロールします。また、偽のウィンドウを表示させ、認証情報やクレジットカード情報、その他の機密情報を入力するようユーザーに促す機能も備えています。

2018年を通して、Android向けトロイの木馬 Android.BankBot.149.origin のソースコードを基にしたAndroidバンカーが盛んに拡散されました。そのようなトロイの木馬に Android.BankBot.250.origin と Android.BankBot.325.origin があります。これらトロイの木馬はユーザーから機密データや金銭を盗むだけでなく、犯罪者が感染させたデバイスにリモートでアクセスすることを可能にします。

Android.DownLoader.753.originや Android.DownLoader.768.origin、 Android.DownLoader.772.origin などのダウンローダ型トロイの木馬によって、多くのバンキング型トロイの木馬がデバイス上に侵入を果たしました。これらダウンローダ型トロイの木馬は便利なプログラムを装って拡散されていますが、実際にはバンキング型トロイの木馬をダウンロードし、インストールしようと試みます。8月には、 Android.Spy.409.origin、 Android.Spy.443.origin 、そしてアドウェアである Android.HiddenAds.710 や Android.HiddenAds.728 などの他の悪意のあるアプリケーションの拡散にも同様のダウンローダが使用されていたことがDoctor Webによって明らかになりました。

2018年、Androidユーザーは再び、インターネットから任意のコードをダウンロードすることのできるトロイの木馬 Android.RemoteCode ファミリーの標的となりました。2月には、 Android.RemoteCode.127.origin と名付けられたそのうちの1つがウイルスアナリストによって発見されました。 Android.RemoteCode.127.origin は補助モジュールをダウンロードし、このモジュールが様々な機能を持った別の悪意のあるプラグインをダウンロードして起動させます。トロイの木馬のコンポーネントが検出されるのを防ぐため、犯罪者はそれらを暗号化して画像内に隠していました。

Android.RemoteCode.152.origin としてDr.Webのウイルスデータベースに追加された、このファミリーに属するまた別のトロイの木馬は、アドウェアモジュールをダウンロードして起動させます。 Android.RemoteCode.152.origin はこれらのモジュールを使用して見えない広告バナーを作成し、それらをクリックすることでサイバー犯罪者に収益をもたらします。

サイバー犯罪者は不正に収益を得るために、 Android.CoinMine.15 などのトロイの木馬マイナーを含む別の悪意のあるプログラムも使用しています。 Android.CoinMine.15 はスマートテレビやルーター、ストリーミングボックスなどの様々なAndroidデバイスを感染させます。このトロイの木馬は、Debug Bridge (ADB) によって使用される5555番ポートが開いているデバイスを感染させ、ワームのように拡散されます。

秋には、仮想通貨Bitcoin、 Monero、 zCash、 DOGE、 DASH、 Etherium、 Blackcoin、 Litecoinに加え、 QIWI、 WebMoney (R and Z)、 Yandex.Money 決済システムのデジタルウォレット番号を置き換えるクリッパートロイの木馬 Android.Clipper.1.origin がDoctor Webのエキスパートによって発見されました。ユーザーがデジタルウォレット番号をクリップボードにコピーすると、 Android.Clipper.1.origin はその番号をサイバー犯罪者のウォレット番号と置き換えます。その結果、ユーザーはサイバー犯罪者のアカウントに送金してしまうことになります。

犯罪者は詐欺目的でトロイの木馬を積極的に使用しています。2018年に多く見られた手口は、調査に参加することで報酬を得ることができるとユーザーを騙すものです。それらトロイの木馬は起動されると犯罪者によって作成されたWebページを開き、いくつかの質問に答えるようユーザーを促します。報酬を受け取るために、ユーザーは確認料や手数料などを支払うよう要求されますが、支払を行ったユーザーが報酬を受け取ることはありません。広告を含んだWebサイトを開き、それらを自動的にクリックするクリッカートロイの木馬も広く使用されています。詳細についてはこちらの記事をご覧ください。

また別の詐欺手法が、Androidモバイルデバイスのユーザーを高額なサービスに登録させるというものです。 Android.Click.245.origin のようなトロイの木馬は、ユーザーに様々なソフトウェアをダウンロードさせるための偽のWebサイトを開きます。ユーザーはダウンロードを完了させるために、確認コードを受け取るための電話番号を入力するよう要求されます。なかには、自動的に登録が行われるケースもあります。この詐欺手法に関する詳細についてはこちらの記事をご覧ください。

2018年には、Androidファームウェア感染の新たなケースが確認されました。そのようなケースの1つ、Androidデバイスの40を超えるモデルのファームウェアに埋め込まれたトロイの木馬 Android.Triada.231 が3月にウイルスアナリストによって発見されました。このトロイの木馬はソースコードレベルでシステムライブラリの1つに埋め込まれていました。 Android.Triada.231 は感染したスマートフォンやタブレットが起動する度に自動的に起動し、その際、プログラムを起動させるシステムプロセスである Zygote に自身を埋め込みます。その結果、 Android.Triada.231 は他のプロセスを感染させ、密かに悪意のある動作を実行することが可能になります。 Android.Triada.231 の主な機能はプログラムを密かにダウンロード、インストール、削除することです。

今後の傾向と予測

2018年にはウイルスの深刻な大発生は見られなかったものの、今後、大量拡散の新たな波が起こる可能性は十分にあります。様々な言語で書かれた悪意のあるスクリプトの数は増加の一途をたどるでしょう。そして、このようなスクリプトはWindowsデバイスだけでなく、Linuxを中心とした他のシステムをも標的にしていくものと考えられます。

感染したデバイスのハードウェアを使用して密かに仮想通貨をマイニングする新たなトロイの木馬も登場するでしょう。IoTに対するサイバー犯罪者の関心も引き続き衰えることはなく、現時点でもすでに存在しているスマートデバイスを標的とするトロイの木馬は、今後確実にその数を増していくものと考えられます。

また、2019年にはAndroid向けの新たなトロイの木馬も作成・拡散されるものと考えられます。2018年の傾向から、モバイルマルウェアの中でも広告を表示させるトロイの木馬やバンキング型トロイの木馬が最も多く使用される可能性が高いでしょう。

そして、詐欺メールの数は減ることなく、オンライン詐欺師は引き続きインターネットユーザーを騙すための新たな手口を編み出し続けるでしょう。いずれにしても、2019年には情報セキュリティに対する新たな脅威が出現するということは間違いありません。すなわち、信頼性の高い最新のアンチウイルスをデバイスに導入することが重要であるということを意味しています。

2019年1月11日

株式会社Doctor Web Pacific

2018年も、Androidモバイルデバイスユーザーは依然として多数の悪意のあるプログラムや不要なプログラムの標的となり、それらプログラムの多くがGoogle Playから拡散されていました。また、2017年から見られた、様々な手法を用いてトロイの木馬を隠し、検出を困難にするという傾向が顕著に強まっています。

2018年に拡散されたモバイルデバイスユーザーに対する主な脅威の1つが、世界中で金融機関の利用者を攻撃するAndroidバンカーです。インターネットから任意のコードをダウンロードして実行する機能を備えたマルウェアもまた、深刻な脅威となっています。

ウイルス作成者は詐欺行為を実行するために積極的にトロイの木馬を拡散させていたほか、不正な収益を得るために他の悪意のあるアプリケーションも使用していました。また、モバイルデバイス上で仮想通貨のマイニングを実行しようと試み、Androidデバイスのクリップボードにあるデジタルウォレットの番号を置き換えるクリッパートロイの木馬も使用しています。

モバイルデバイスのファームウェアの製造段階での感染は引き続き問題となっています。2018年春には、Android OSのイメージ内にトロイの木馬が埋め込まれており、40を超えるモバイルデバイスのモデルが感染しているということがDoctor Webのウイルスアナリストによって明らかになりました。

そのほか、2018年を通して悪意のあるスパイウェアがユーザーを脅かしました。

最も注目すべきイベント

2018年の初め、情報セキュリティスペシャリストは、スマートテレビやルーター、ストリーミングボックス、およびその他のAndroidデバイスを感染させるトロイの木馬マイナー Android.CoinMine.15 の拡散を検出しました。このトロイの木馬は Android Debug Bridge(ADB) を使用するデバイスを感染させますが、その際、ランダムなIPアドレスを生成して、開いている5555番ポートに接続しようとします。接続に成功すると、自身のコピーと補助ファイルをデバイス上にインストールします。このファイルには Monero(XMR) をマイニングするソフトウェアが含まれています。

3月、Doctor WebはAndroidデバイスの40を超えるモデルのファームウェアにトロイの木馬 Android.Triada.231 が埋め込まれているという新たなケースを発見しました。 Android.Triada ファミリーに属する他の亜種は個別のアプリケーションとして拡散されますが、 Android.Triada.231 は正体不明の犯罪者によってソースコードレベルでシステムライブラリの1つに埋め込まれていました。このトロイの木馬はプログラムを起動させるシステムプロセスである Zygote に自身を埋め込みます。その結果、 Android.Triada.231 は他のプロセスを感染させ、密かに悪意のある動作(ユーザーの操作なしにソフトウェアをダウンロード、インストール、削除するなど)を実行することが可能になります。この脅威に関する詳細については、こちらの記事をご覧ください。

犯罪者は、悪意のあるプログラムや不要なプログラムが検出されることを防ぐために多種多様な手法を用いるようになってきています。2018年もこの傾向は続きました。マルウェアをユーザーに気づかれにくくするための最も一般的な方法はダウンローダの使用です。ダウンローダによって、トロイの木馬やその他の危険なソフトウェアがアンチウイルスソフトウェアに検出されるまでの時間をより長くし、ユーザーが疑いを持たないようにすることが可能になります。これらのダウンローダを使用して、サイバー犯罪者はスパイウェア型トロイの木馬など様々なマルウェアを拡散させることができます。

4月、ダウンローダ Android.DownLoader.3557 がGoogle Play上で発見されました。このダウンローダは、重要なプラグインを装った悪意のあるソフトウェア Android.Spy.443.origin と Android.Spy.444.origin をデバイス上にダウンロードし、それらをインストールするようユーザーに促します。これらトロイの木馬は感染したスマートフォンやタブレットの所在地を追跡し、利用可能なすべてのファイルに関する情報を取得し、サイバー犯罪者にユーザーのドキュメントを送信し、SMSメッセージを送信または盗み、デバイスのマイクを使用して周囲の音を録音し、動画を撮り、通話を傍受し、連絡先リストからデータを盗み、さらにその他の動作も実行します。

8月にはダウンローダ Android.DownLoader.784.origin がGoogle Play上で発見されています。このダウンローダはスパイウェア型トロイの木馬 Android.Spy.409.origin をデバイス上にダウンロードします。Android.DownLoader.784.origin は『Zee Player』というアプリケーションに埋め込まれていました。このアプリケーションは、トロイの木馬がモバイルデバイスのメモリ内に保存されている写真や動画を非表示にすることを可能にします。ユーザーが疑いを抱くことのないよう、このプログラムは実際にアプリケーションの機能を実行するようになっています。

ダウンローダ型トロイの木馬は、Androidバンカーの拡散に使用されるケースが多くなっています。7月、金融機関のアプリケーションを装った Android.DownLoader.753.origin がGoogle Play上で発見されました。これらトロイの木馬のいくつかは、信頼性を高めるために実際にアプリケーションの機能を実行します。 Android.DownLoader.753.origin は、機密情報を盗む様々なバンキング型トロイの木馬をダウンロードし、それらをインストールしようと試みます。

その後、同様の悪意のあるプログラムが複数、Google Play上で検出されています。 Android.DownLoader.768.origin と名付けられたそのうちの1つは、シェル社の公式ソフトウェアを装って拡散されていました。 Android.DownLoader.772.origin としてDr.Webのウイルスデータベースに追加されたまた別のトロイの木馬は、便利なユーティリティを装っていました。いずれのトロイの木馬もAndroidバンカーをダウンロード・インストールするために使用されていました。

ダウンローダはモバイルデバイスを他のマルウェアに感染させるために使用されます。10月、VPNクライアントを装ってGoogle Playから拡散されていたトロイの木馬 Android.DownLoader.818.origin が発見され、その後、このトロイの木馬の亜種 Android.DownLoader.819.origin と Android.DownLoader.828.origin が偽のゲームに含まれて拡散されていることがDoctor Webのエキスパートによって明らかになりました。これらトロイの木馬はアドウェア型トロイの木馬をインストールしようと試みます。

マルチコンポーネントな悪意のあるアプリケーションは、ますます一般的になってきています。この様なアプリケーションでは各モジュールが特定の機能を実行するため、犯罪者は必要に応じてトロイの木馬の機能を拡張することが可能です。この動作原理は、脅威の検出を妨げるために利用されています。ウイルス作成者はこれらプラグインを素早くアップデートすることで、トロイの木馬の本体に最小限の機能のセットだけを残し、その結果、検出されにくくすることができます。

2月、Doctor Webのエキスパートはそのようなマルチコンポーネントトロイの木馬である Android.RemoteCode.127.origin を発見しました。450万をこえるユーザーによってダウンロードされていたこのトロイの木馬は、様々な動作を実行する悪意のあるモジュールをダウンロードして起動させます。 Android.RemoteCode.127.origin のプラグインの1つは、無害であると見せかけた画像に隠されたパッチを使用して自身をアップデートします。悪意のあるオブジェクトを画像内に隠すこのような手法(ステガノグラフィ、 steganography) はウイルスアナリストの間で既に知られていますが、ウイルス作成者によって使用された例はごくわずかです。

複号化されて起動されると、このモジュールは別のプラグインが隠されたまた別の画像をダウンロードししますが、このプラグインが Android.Click.221.origin をダウンロードして起動させます。次に、Webサイトをバックグランドで開き、サイト上にあるリンクやバナーなどのアイテムをクリックします。こうして、サイバー犯罪者はWebサイトのトラフィックを増加させ、バナーをクリックすることで収益を得ることができます。

以下は、 Android.RemoteCode.127.origin の暗号化されたモジュールを含んだ画像の例です。

この脅威に関する詳細については、こちらの記事をご覧ください。

Android.RemoteCode.152.origin は、任意のコードをロードして実行することのできるまた別のマルチコンポーネントトロイの木馬です。650万を超えるユーザーによってインストールされていたこのトロイの木馬は、広告プラグインを含む補助モジュールを密かにダウンロードして起動させます。 Android.RemoteCode.152.origin はこれらのモジュールを使用して見えない広告バナーを作成し、それらをクリックすることでウイルス作成者に収益をもたらします。

8月、Doctor Webのアナリストはクリッパートロイの木馬 Android.Clipper.1.origin と、その亜種である Android.Clipper.2.origin について調査を行いました。良く知られた無害なアプリケーションを装って拡散されていたこの悪意のあるプログラムは、仮想通貨Bitcoin、 Monero、 zCash、 DOGE、 DASH、 Etherium、 Blackcoin、 Litecoinに加え、 QIWI、 WebMoney (R and Z)、 Yandex.Money 決済システムのデジタルウォレット番号を置き換えることができます。

ユーザーがデジタルウォレット番号をクリップボードにコピーすると、 Android.Clipper.1.origin はその番号をC&Cサーバーに送信します。次に、応答としてサイバー犯罪者のウォレット番号を受け取り、元の番号の代わりにそれをクリップボードに追加します。その結果、置き換えに気づいていないユーザーはサイバー犯罪者のアカウントに送金してしまうことになります。この脅威に関する詳細については、こちらの記事をご覧ください。

モバイルマルウェアに関する状況

Android製品上でDr. Webによって検出された脅威に関する統計によると、2018年にはアドウェア型トロイの木馬、悪意のあるソフトウェアや不要なソフトウェアをダウンロードするマルウェア、不要なソフトウェア、サイバー犯罪者のコマンドを実行するトロイの木馬が最も多く検出されています。

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドに従って悪意のある動作を実行するトロイの木馬です。

Android.Mobifun.4

Androidデバイス上に様々なソフトウェアをダウンロードするトロイの木馬です。

Android.HiddenAds

広告を表示させるよう設計されたトロイの木馬ファミリーです。

Android.DownLoader.573.origin

ウイルス作成者によって指定されたアプリケーションをダウンロードするマルウェアです。

Android.Packed.15893

プログラムパッカーで保護されたAndroidトロイの木馬です。

Android.Xiny.197

主にアプリケーションをダウンロード・削除するよう設計されたトロイの木馬です。

Android.Altamob.1.origin

悪意のあるモジュールを密かにダウンロード・起動させるアドウェア型トロイの木馬です。

2018年にAndroidデバイス上で検出された不要なプログラムと潜在的に危険なアプリケーションについては、広告を表示させるモジュールが最も多く、そのほかに、様々なソフトウェアをダウンロード・インストールするアプリケーションも検出されています。

Adware.Zeus.1

Adware.Altamob.1.origin

Adware.Jiubang

Adware.Adtiming.1.origin

Adware.Adpush.601

Adware.SalmonAds.3.origin

Adware.Gexin.2.origin

これらは、迷惑な広告を表示させるためにソフトウェア開発者やウイルス作成者によってアプリケーション内に組み込まれた不要なモジュールです。

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

他のアプリケーションをダウンロード・インストールするよう設計された潜在的に危険なプログラムです。

バンキング型トロイの木馬

バンキング型トロイの木馬は依然としてモバイルデバイスユーザーにとって深刻な脅威となっています。これら悪意のあるアプリケーションは金融機関の利用者のアカウントにアクセスするための認証情報、銀行カードの詳細、そして金銭を盗むために利用できるその他の機密情報を盗みます。2018年にはDr.Web for Androidによって11万を超えるバンキング型トロイの木馬がスマートフォンやタブレット上で検出されています。以下のグラフはAndroidバンカーの検出推移です。

バンキング型トロイの木馬 Android.BankBot.149.origin のソースコードが2016年の末にその作成者によって公開された際、Doctor Webのエキスパートは、このトロイの木馬に類似する様々なマルウェアが出現することになると予測しました。この予測は現実のものとなり、ウイルス作成者は同様のバンカーを積極的に作成するようになったほか、それらを改良したり新たな機能を追加したりするようになりました。2018年には、そのようなトロイの木馬の1つである Android.BankBot.250.origin と、その新たな亜種であり、より危険なバージョンである Android.BankBot.325.origin が拡散されました。Anubisとしても知られるこのバンカーは、多機能な悪意のあるアプリケーションです。ユーザーから機密データや金銭を盗むだけでなく、多くのコマンドを実行する機能も備えています。また、 Android.BankBot.325.origin をリモート管理ユーティリティとして使用することで、サイバー犯罪者は感染させたデバイスにアクセスすることが可能です。この脅威に関する詳細については、こちらの記事をご覧ください。

3月、Doctor Webのエキスパートは「VSEBANKI – Vse banki v odnom meste(ALLBANKS – すべての銀行を一か所に)」と呼ばれるアプリケーションにトロイの木馬 Android.BankBot.344.origin が潜んでいることを発見しました。犯罪者は、このアプリケーションは複数のロシアの金融機関のオンラインバンキングに使用できるユニバーサルアプリケーションであると謳っています。

起動されると、 Android.BankBot.344.origin はログインとパスワードを使用して既存のモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するようユーザーに促します。ユーザーがデータを入力してしまうと、それらがサイバー犯罪者に送信されます。その結果、犯罪者はユーザーから金銭を盗むことが可能になります。

秋には、同じくGoogle Playから拡散されてスペイン、フランス、ドイツの金融機関の利用者を攻撃していたバンカー Android.Banker.2876 についてウイルスアナリストによる調査が行われました。このトロイの木馬はフィッシングウィンドウを表示して電話番号を入力するようユーザーに促し、それらの情報を犯罪者に送信します。その後、 Android.Banker.2876 はSMSメッセージを横取りし、その内容も犯罪者に送信します。その結果、犯罪者は銀行取引を確定するためのワンタイムパスワードやフィッシング攻撃に使用することのできるその他の機密情報を入手することが可能になります。

その後間もなくして、Doctor Webのウイルスアナリストは、ブラジルの金融機関の利用者を攻撃しているトロイの木馬 Android.BankBot.495.origin をGoogle Play上で発見しました。このトロイの木馬はAndroidのアクセシビリティ機能を使用して実行中のアプリケーションのウィンドウの内容を読み取り、機密情報を犯罪者に送信するほか、ボタンを自動的にタップしてプログラムの動作をコントロールします。また、偽のウィンドウを表示させ、認証情報やクレジットカード情報、その他の機密情報を入力するようユーザーに促す機能も備えています。

詐欺

Androidデバイス向けのマルウェアを詐欺行為に使用するサイバー犯罪者が増えています。2018年にはそのような事例が多く確認されました。そのうちの1つが、4月に記事を掲載した Android.Click.245.origin です。このトロイの木馬は良く知られたアプリケーションを装って拡散されていましたが、実際には偽のWebページを開き、ユーザーに電話番号を入力させた後、様々なソフトウェアをダウンロードさせます。電話番号を入力したユーザーは「ダウンロード」を完了するために必要とされる確認コードが含まれたSMSメッセージを受け取ります。ところが、このコードを入力したユーザーは有料サービスに登録されてしまいます。感染させたデバイスがモバイル通信経由でインターネットに接続していた場合、ユーザーは偽のダウンロードボタンをクリックした直後に Wap-Click テクノロジーを使用して高額なサービスに自動的に登録されます。以下の画像はその例です。

2018年を通して、C&Cサーバーからのコマンドに従ってあらゆるWebページを開くことのできるトロイの木馬が他にもGoogle Play上で発見されています。そのようなトロイの木馬には、 Android.Click.415、 Android.Click.416、 Android.Click.417、 Android.Click.246.origin、 Android.Click.248.origin、 Android.Click.458 などがあります。これらトロイの木馬もまた、レシピ集、マニュアル、音声アシスタント、ゲーム、ブックメーカーアプリケーションなどの便利なプログラムを装って拡散されていました。

偽の調査を行うWebページを開くトロイの木馬 Android.FakeApp ファミリーも多く拡散されました。このファミリーに属するトロイの木馬は、調査に参加することで報酬を得ることができるとしてユーザーを騙します。報酬を受け取るために、ユーザーは手数料を支払うよう要求され、ユーザーが支払いに同意すると指定された金額がサイバー犯罪者に振り込まれます。もちろん、ユーザーが報酬を受け取ることはありません。

また、2018年には詐欺アプリケーション Android.FakeApp と Android.Click が多数発見されています。これらのアプリケーションは、 85,000 を超えるAndroidデバイスのユーザーによってインストールされていました。これらの脅威に関する詳細については、こちらの記事をご覧ください。

今後の傾向と予測

2019年もモバイルデバイスユーザーはバンキング型トロイの木馬による攻撃を受け、ウイルス作成者はそれらトロイの木馬の機能を改良し続けていくものと考えられます。Androidバンカーは幅広いタスクを実行することが可能な多機能なマルウェアへと変化を遂げる可能性があります。

詐欺アプリケーションや広告を表示するトロイの木馬の数も増加するものとみられます。Androidデバイスの処理能力を利用して仮想通貨をマイニングする試みは今後も続くでしょう。また、さらなるファームウェアの感染が起こる可能性も否定できません。

サイバー犯罪者は、アンチウイルスを回避するための方法と、今後Android OSに組み込まれる新しい制限や保護機能を回避するための方法を進化させていくものと考えられます。それらのバリアを回避することのできるルートキットやトロイの木馬にも注意していく必要があります。新しい動作原理を持ち、これまでにない方法で機密情報を入手する悪意のあるプログラムが出現する可能性があります。例えば、モバイルデバイスのセンサーやアイトラッキング(視線追跡)センサーを利用して、入力されたテキストに関する情報を入手する方法などが挙げられます。さらに、機械学習アルゴリズムやその他の人工知能を使用する新しいマルウェアが登場する可能性もあります。

2019年1月9日

株式会社Doctor Web Pacific

2018年最後の月は、情報セキュリティに関して目立った動きは見られませんでした。コンピューター上ならびにメール内で検出されたマルウェアについては、依然として悪意のある JavaScript シナリオが最も多くなっています。これらの多くは感染したデバイス上に他のマルウェアをダウンロードするものや、感染したコンピューターのハードウェアを使用して仮想通貨をマイニングするよう設計されたものでした。11月同様、マルチコンポーネントなバンキング型トロイの木馬 Trojan.SpyBot.699 がハードディスク上で多く検出されています。サイバー犯罪者は、このトロイの木馬を使用することで様々なコマンドをリモートからコンピューター上で実行し、他の悪意のあるアプリケーションを起動させることができます。

Doctor Web統計サーバーによる統計

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

Trojan.SpyBot.699

マルチモジュールなバンキング型トロイの木馬です。感染したデバイス上でサイバー犯罪者が様々なアプリケーションをダウンロード・起動し、コマンドを実行することを可能にします。銀行口座から金銭を盗む目的で設計されています。

JS.Miner

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

VBS.DownLoader

悪意のあるJavaScriptのファミリーです。コンピューター上に他のマルウェアをダウンロード・インストールするよう設計されています。

メールトラフィック内で検出された脅威の統計

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

Trojan.SpyBot.699

マルチモジュールなバンキング型トロイの木馬です。感染したデバイス上でサイバー犯罪者が様々なアプリケーションをダウンロード・起動し、コマンドを実行することを可能にします。銀行口座から金銭を盗む目的で設計されています。

W97M.DownLoader

オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬ファミリーです。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。

JS.Miner

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

暗号化ランサムウェア

2018年12月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました。

• Trojan.Encoder.858 — リクエストの22.34%
• Trojan.Encoder.11464 — リクエストの11.71%
• Trojan.Encoder.11539 — リクエストの10.17%
• Trojan.Encoder.25574 — リクエストの5.08%
• Trojan.Encoder.567 — リクエストの4.93%
• Trojan.Encoder.5342 — リクエストの1.54%

危険なWebサイト

2018年12月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は257,197件となっています。

モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム

12月、Doctor Webのエキスパートはブラジルのユーザーを標的とした悪意のあるアプリケーション Android.BankBot.495.origin をGoogle Play上で発見しました。このトロイの木馬は銀行の口座情報を盗み、Androidのアクセシビリティ機能を使用して他のプログラムをコントロールします。そのほかGoogle Playでは、 Adware.HiddenAds と Adware.Patacore ファミリーに属するアドウェア型トロイの木馬や、その他の悪意のあるまたは不要なアプリケーションも発見されています。また、犯罪者がモバイルデバイスユーザーを監視することを可能にする商用スパイウェア Program.Spyzie.1.origin の新たなバージョンも発見されました。

12月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• ブラジルのユーザーを標的にするバンキング型トロイの木馬
• 危険なスパイウェアの新たなバージョンを検出
• Google Play上で悪意のあるアプリケーションや不要なアプリケーションを多数発見

モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。

2019年1月9日

株式会社Doctor Web Pacific

12月上旬、ブラジルのAndroidデバイスユーザーはGoogle Playから拡散されたバンキング型トロイの木馬による攻撃を受けました。Google Playでは、その他の悪意のあるアプリケーションもいくつか発見されています。12月の終わりには大量の機密情報を収集する商用スパイウェアの新たなバージョンがDoctor Webのエキスパートによって発見されました。

12月のモバイル脅威

12月初旬、ウイルスアナリストは、ブラジルの金融機関の利用者を攻撃していたバンキング型トロイの木馬 Android.BankBot.495.origin について調査を行いました。このマルウェアはAndroidのアクセシビリティ機能を取得しようと試み、その機能を使用することでバンキングアプリケーションをコントロールし、それらアプリケーションのウィンドウの内容を読み取り、機密情報を犯罪者に送信します。さらに、 Android.BankBot.495.origin はアプリケーションの前面にフィッシングウィンドウを表示させ、認証情報、銀行カード情報、その他の機密データを入力するようユーザーに促します。

このトロイの木馬に関する詳細については、こちらの記事をご覧ください。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.HiddenAds.261.origin

Android.HiddenAds.659

モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.DownLoader.573.origin

別のマルウェアアプリケーションをダウンロードするよう設計されたトロイの木馬です。

Android.Mobifun.4

様々なアプリケーションをダウンロードするトロイの木馬です。

Adware.Zeus.1

Adware.Patacore.1.origin

Adware.Adpush.2514

Adware.AdPush.29.origin

Adware.Jiubang.2

Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。

Google Play上の脅威

12月を通して、悪意のあるプログラムや不要なプログラムが多数Google Play上で検出されました。それらの中には、ゲームや便利なアプリケーションを装って拡散されていたアドウェア型トロイの木馬 Android.HiddenAds.343.origin と Android.HiddenAds.847 が含まれています。起動されると、これらトロイの木馬はホーム画面から自身のアイコンを隠し、広告を表示させます。

また、不要なモジュールを含んだプログラム Adware.Patacore と Adware.HiddenAds も検出されています。これらのプログラムは、それらが含まれているソフトウェアが実行されていない場合でも広告を表示することができます。合計で530万を超えるユーザーによってインストールされていました。

サイバー犯罪者は詐欺アプリケーションを拡散し続けています。12月にはトロイの木馬 Android.FakeApp.149、 Android.FakeApp.151、 Android.FakeApp.152 が検出され、Dr.Webのウイルスデータベースに追加されました。これら悪意のあるプログラムは詐欺サイトを開き、いくつかの質問に回答することで報酬を得ることができるとユーザーを騙します。ユーザーは「報酬」を受け取るために手数料を支払うよう要求されます。もちろん、その後ユーザーが報酬を受け取ることはありません。

また、ウイルス作成者がユーザーのスマートフォンやタブレットを介してトラフィックをリダイレクトするために使用していたトロイの木馬 Android.Proxy.4.origin も検出されています。 Android.Proxy.4.origin は一見無害なゲームに隠されていました。

サイバースパイ行為

12月に検出された潜在的に危険なプログラムの中に、Androidデバイスユーザーを監視することを可能にする商用スパイウェア Program.Spyzie.1.origin の新しいバージョンがあります。このスパイウェアはテキストメッセージやメールを横取りして読み込み、通話、Webブラウザ履歴、感染したスマートフォンやタブレットの位置情報を追跡します。また、一般的なオンラインメッセンジャーのメッセージ履歴にアクセスし、その他の情報を盗みます。

Androidユーザーは、オンラインとGoogle Playの両方から拡散される様々な悪意のあるプログラムや不要なプログラムの標的となっています。また、犯罪者がモバイルデバイスに物理的にアクセスすることが可能な場合、直接マルウェアをインストールされてしまう可能性もあります。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。

2018年12月11日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、ブラジルの金融機関の利用者を攻撃しているトロイの木馬 Android.BankBot.495.origin をGoogle Play上で発見しました。このトロイの木馬は感染したモバイルデバイスを操作し、ユーザーの機密情報を盗むために、Androidの特別な機能（アクセシビリティサービス）を利用します。

Android.BankBot.495.origin はAndroidスマートフォンやタブレットのユーザーをモニターすることを可能にするとされるアプリケーションを装って拡散されていました。このトロイの木馬は、WLocaliza Ache Já、WhatsWhere Ache Já、WhatsLocal Ache Jáと呼ばれるソフトウェアに隠されていました。Doctor WebからGoogle社に対して報告を行ったところ、これらのプログラムは直ちにGoogle Playより削除されました。2,000人を超えるユーザーがこのトロイの木馬をダウンロードしています。

起動すると、 Android.BankBot.495.origin はシステム設定を開き、アクセシビリティオプションを有効にするようユーザーに促すことでアクセシビリティ機能を取得しようとします。ユーザーがトロイの木馬に権限を与えることに同意すると、 Android.BankBot.495.origin はバックグラウンドでプログラムをコントロールし、ボタンをタップし、アクティブなアプリケーションウィンドウからその内容を盗むことができるようになります。

トロイの木馬がアクセシビリティ機能にアクセスすることをユーザーが許可すると、 Android.BankBot.495.origin はウィンドウを閉じ、悪意のあるサービスを開始し、それを使用してバックグラウンドで動作を続けます。次に、 Android.BankBot.495.origin は実行中のプログラムの前面に画面を表示させるためのアクセスを要求します。このオプションは後にフィッシングウィンドウを表示させる際に必要となります。先に取得したアクセシビリティ機能を使用する許可は、許可を要求した際に表示されるあらゆる「PERMITIR（許可）」ボタンを自動的にタップするために使用されます。その結果、システム言語がポルトガル語であれば、トロイの木馬は必要な権限を勝手に取得することができるようになります。

さらに、このトロイの木馬は特別な自己防衛機能を使用して、いくつかのアンチウイルスやユーティリティをトラッキングし、それらが起動されると「戻る」ボタンを4回押してウィンドウを閉じようとします。

Android.BankBot.495.origin は初期設定を受け取るためにリモートホストに接続し、見えないWebViewウィンドウ内で犯罪者から受け取ったリンクを辿ります。何回かリダイレクトされた後、トロイの木馬は2つのC&Cサーバーの暗号化されたIPアドレスがある最後のリンクを受け取ります。次に、 Android.BankBot.495.origin はそれらの1つに接続し、アプリケーションの名前が記載されたリストを受け取ると、それらがデバイス上にインストールされているかどうかを確認してサーバーに報告します。続けて、複数のリクエストを1つずつ送信し、アプリケーションのいずれか1つ（サーバーの設定によって異なる）を起動させるコマンドを受け取ります。Doctor Webによる調査が行われた時点で、このトロイの木馬はデフォルトのSMSアプリケーションのほか、金融機関Banco Itaú S.A.およびBanco Bradesco S.A.のソフトウェアを起動させることが可能でした。

Banco Itaúを起動した場合、このトロイの木馬はアクセシビリティ機能を使用してウィンドウの内容を読み取り、ユーザーの銀行口座の残高に関する情報を犯罪者に転送します。続けて、アプリケーション内の口座管理に移動し、そこで電子取引の確定に使用されるセキュリティコードであるiTokenキーをコピーして犯罪者に送信します。

Bradescoを起動した場合、トロイの木馬はユーザーの口座情報を読み込み、C&Cサーバーから受け取ったPINコードを入力して自動的にログインしようと試みます。 Android.BankBot.495.origin はユーザーの口座残高をコピーし、先に入手しておいた口座情報と一緒に犯罪者に送信します。

SMSアプリケーションを起動させるコマンドを受け取った場合、トロイの木馬はSMSを開き、メッセージのテキストを読み込んで保存し、それらをサーバーに送信します。また、CaixaBank S.A.から受け取ったメッセージを特定することができ、それらを個別のリクエストで送信します。

サイバー犯罪者はフィッシング攻撃にも Android.BankBot.495.origin を使用しています。このトロイの木馬は、Itaucard Controle seu cartão、Banco do Brasil、Banco Itaú、CAIXA、Bradesco、Uber、Netflix、Twitterのソフトウェアを監視します。これらのソフトウェアが起動されるとトロイの木馬はそれを検知し、起動されたアプリケーションのものを模倣した偽のWebページを2つ目のC&Cサーバーからロードしてオーバーレイウィンドウで開きます。ユーザーは口座に関する情報、銀行口座番号、キャッシュカードに関する詳細、ログイン、パスワード、およびその他の機密情報を入力するよう促される場合があります。

以下の画像はそのようなフィッシングページの例です。

ユーザーが入力した情報は犯罪者に送信されます。その後、トロイの木馬は偽のウィンドウを閉じ、模倣の対象となったアプリケーションを再起動させます。アプリケーションのウィンドウが閉じられたことをユーザーが不審に思わないようにするためです。

Androidソフトウェアをインストールする際は、たとえそれがGoogle Playから入手するものであったとしても、十分に注意を払うようにしてください。犯罪者は良く知られたソフトウェアの偽物や、一見無害にみえるアプリケーションを作成することができます。トロイの木馬をインストールしてしまうリスクを減らすために、開発者の名前、アプリケーションがGoogle Playに追加された日付、ダウンロード数、他のユーザーによるレビューに気を付けるようにしてください。また、アンチウイルスを使用することも重要です。

バンキング型トロイの木馬 Android.BankBot.495.origin の既知のすべての亜種はDr.Web for Androidによって検出・削除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Android.BankBot.495.originの詳細 (英語)

#Android, #Google_Play, #banking_Trojan, #phishing

2018年12月5日

株式会社Doctor Web Pacific

2018年最後の秋には興味深い情報セキュリティイベントがいくつか発生しました。感染したデバイスからアンチウイルスプログラムを削除する機能を備えたLinux向けのマイニング型トロイの木馬がDoctor Webのエキスパートによって発見され、その後、これまでにない方法でコンピューターを感染させるWindows向けのクリッカー型トロイの木馬が発見されました。Androidに対するウイルス作成者の関心も薄れていません。11月にはAndroid向けの新たな悪意のあるプログラムも検出され、Dr.Webのウイルスデータベースに追加されました。

11月の脅威

Trojan.Click3.27430 としてDr.Webのウイルスデータベースに追加されたトロイの木馬は、Webサイトのトラフィックを密かに増やすよう設計された悪意のあるプログラムで、固定IPアドレスを持たないコンピューターにサブドメインを結びつけることを可能にするDynDNSソフトウェアを装って拡散されていました。犯罪者はこのトロイの木馬を拡散させるための特別なWebサイトを作成しています。

このサイトでは、実際にはダウンローダである実行ファイルsetup.exeを含んだアーカイブをダウンロードすることができます。このダウンローダがARJアーカイブを装った別のファイルをインターネットからダウンロードしますが、このファイルは本物のアプリケーションと一緒にトロイの木馬をシステム上にインストールするドロッパーです。ユーザーが感染したコンピューターからこのアプリケーションをアンインストールしようとした場合、DynDNSのみが削除され、 Trojan.Click3.27430 はシステムに残って悪意のある動作を続けます。この脅威に関する詳細については、こちらの記事をご覧ください。

Doctor Web統計サーバーによる統計

Trojan.SpyBot.699

マルチモジュールのバンキング型トロイの木馬です。サイバー犯罪者が感染したデバイス上でさまざまなアプリケーションをダウンロード・起動させ、コマンドを実行することを可能にします。銀行口座から金銭を盗むことを目的に設計されています。

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

JS.Miner

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.MulDrop

コンピューター上に別の悪意のあるプログラムをインストールすることのできるトロイの木馬です。

Trojan.Encoder.11432

WannaCryとして知られる暗号化ワームです。

メールトラフィック内で検出された脅威の統計

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

Trojan.SpyBot.699

マルチモジュールのバンキング型トロイの木馬です。サイバー犯罪者が感染したデバイス上でさまざまなアプリケーションをダウンロード・起動させ、コマンドを実行することを可能にします。銀行口座から金銭を盗むことを目的に設計されています。

JS.Miner

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.Encoder.26375

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬です。

暗号化ランサムウェア

2018年11月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました。

• Trojan.Encoder.858—リクエストの32.15%
• Trojan.Encoder.11464—リクエストの11.17%
• Trojan.Encoder.11539—リクエストの10.80%
• Trojan.Encoder.25574—リクエストの4.91%
• Trojan.Encoder.567—リクエストの1.35%
• Trojan.Encoder.10700—リクエストの1.35%

危険なWebサイト

フィッシングサイトは危険な非推奨サイトの個別のカテゴリーに分類されます。フィッシングとは、被害者から機密情報（インターネットサービスのログインとパスワード、ソーシャルメディアの認証情報など）を盗むことを最終的な目的としたオンライン詐欺の一種です。犯罪者はさまざまなオンラインプラットフォームのデザインを模倣した偽のWebサイトを作成し、あらゆる手法を用いてユーザーをそこへ誘い込もうとします。入手した情報は詐欺や脅迫目的で広告を送信するために使用されます。

11月には、そのような詐欺メールが送信されるケースが複数Doctor Webのエキスパートによって確認されています。サイバー犯罪者はユーザーが利用していたメールサービスの管理者を装ってメールを送信していました。メールには、ユーザーがメールボックスを無効にするためのリクエストを送信したということ、そして、そのリクエストをキャンセルするにはメール内のリンクをクリックする必要があるということが記載されています。

このリンクはフィッシングサイトに繋がり、メールボックスへのアクセスに使用するログインとパスワードを入力するようユーザーに促す入力フォームが表示されます。ユーザーがどのようなデータを入力してもエラーメッセージが表示され、一方で入力された情報は直ちに犯罪者に転送されます。Doctor Webのスペシャリストはこのようなサイトを複数特定し、それらのURLはSpIDer Gateのデータベースに追加されました。

2018年11月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は231,074件となっています。

Linuxを狙ったマルウェア

Linux.BtcMine.174 は感染したコンピューターを利用して仮想通貨をマイニングする最初のLinux向けトロイの木馬ではありませんが、それらコンピューター上にインストールされたアンチウイルスを検索して削除する機能を備えているという点で非常に興味深いマルウェアとなっています。

このトロイの木馬は1,000行を超えるコードを含んだ大きなシェルスクリプトで、犯罪者のサーバーからダウンロードされた複数のコンポーネントで構成されています。インストールされると、悪意のあるスクリプトはトロイの木馬 Linux.BackDoor.Gates.9 のバージョンの1つをダウンロードします。このバックドアファミリーはサイバー犯罪者からのコマンドを実行し、DDoS攻撃を行うことを可能にします。

システム内にインストールされた Linux.BtcMine.174 は競合するマイナーを探し、見つかった場合はそれらのプロセスを終了させます。 Linux.BtcMine.174 が root として起動されていない場合は、複数のエクスプロイトを使用して自身の権限を昇格させます。その後、動作中のアンチウイルスプログラムを検出して終了させ、パッケージマネージャーを使用して、製品がインストールされているフォルダと製品のファイルを削除します。さらに、感染したデバイス上でルートキットをダウンロードして起動させ、コンピューターがこれまでにSSH経由で接続していた別のデバイスに関する情報を収集し、それらを感染させようとします。この脅威に関する詳細については、こちらの記事をご覧ください。

その他の情報セキュリティイベント

Doctor Webのサーバーによって収集された、感染したコンピューターやメールトラフィックに関する統計によると、11月に最も多く拡散されたマルウェアの一つは Trojan.SpyBot.699 となっています。これはハッカーグループRTMによって拡散されているマルチモジュールなバンキング型トロイの木馬です。

Trojan.SpyBot.699 の悪意のある機能は主にcore.dllダイナミックライブラリ内にあり、デバイスのメモリにアップロードされます。このトロイの木馬はWindowsの自動実行リストに自身を追加し、C&Cサーバーに送信されるすべてのデータを暗号化します。

Trojan.SpyBot.699 は犯罪者のコマンドに従って実行ファイルをダウンロードしてディスクに保存した後に実行するほか、保存せずにプログラムをダウンロードして実行し、ダイナミックライブラリをメモリにアップロードし、更新を実行し、 システムストレージ内にデジタル証明書をインストールし、その他の外部コマンドを実行します。

このマルウェアは、動作中のプロセス、開いているウィンドウの名前、ディスクに保存されているファイルの中から銀行のクライアントを検索することができます。また、ブラウザのクッキー内で銀行―クライアントシステムに関する情報を探します。必要な情報を入手すると、犯罪者は Trojan.SpyBot.699 とそのダウンロード可能なモジュールを使用して感染したシステムの詳細なスキャンを実行し、そのシステムが常に他のトロイの木馬に感染しているようにし、そして会計ソフトウェアや銀行―クライアントソフトウェア内にマルウェアを埋め込むことができるようになります。サイバー犯罪者の最終的な目的は、被害者の銀行口座から金銭を盗むことです。Dr.Webのアンチウイルス製品は、 Trojan.SpyBot.699 と現時点で知られているその悪意のあるモジュールをすべて検出・削除します。

モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム

11月、Doctor WebのウイルスアナリストはGoogle Playから拡散されていたトロイの木馬 Android.Banker.2876 を発見しました。このトロイの木馬は欧州の複数の銀行の利用者から機密情報を盗むために使用されていました。Google Play上では、他のマルウェアをダウンロードし、それらをインストールしようと試みるダウンローダ Android.DownLoader.832.origin など、その他の脅威も発見されています。また、違法な収益を得るために使用されていた Android.FakeApp ファミリーに属するトロイの木馬や、広告モジュール Adware.HiddenAds の埋め込まれたアプリケーションも発見されました。

11月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• 悪意のあるアプリケーションや不要なアプリケーションがGoogle Playから拡散される

モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。

2018年12月4日

株式会社Doctor Web Pacific

2018年の秋最後の月には、Android向けの新たなバンキング型トロイの木馬がDoctor Webのマルウェアアナリストによって発見されました。このトロイの木馬は欧州の金融機関の利用者を対象にGoogle Playから拡散されていました。11月にはその他のトロイの木馬や不要なソフトウェアも同じくGoogle Play上で発見されています。

11月のモバイル脅威

11月中旬、Doctor Webのエキスパートは欧州で複数の金融機関の利用者を攻撃していたバンキング型トロイの木馬 Android.Banker.2876 を発見しました。このトロイの木馬は機密情報を盗むほか、SMSを横取りしたり送信したりします。

Android.Banker.2876 には以下のような特徴があります。

• Google Play経由で拡散される
• スペイン、フランス、ドイツの金融機関のバンキングアプリケーションを模倣する
• ホーム画面のアプリ一覧から自身のアイコンを隠す
• ゲームが組み込まれており、ユーザーがウィンドウを閉じるとそのゲームが起動する

このトロイの木馬に関する詳細については、こちらの記事をご覧ください。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.Mobifun.4

さまざまなアプリケーションをダウンロードするトロイの木馬です。

Android.HiddenAds.288.origin

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.DownLoader.573.origin

別のマルウェアアプリケーションをダウンロードするトロイの木馬です。

Android.RemoteCode.183.origin

任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。

Adware.Zeus.1

Adware.Adpush.2514

Adware.Patacore.1.origin

Adware.Avazu.5.origin

Adware.Gexin.2.origin

Androidアプリケーションに組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示するよう設計されています。

Google Play上の脅威

11月初旬、Doctor Webのウイルスアナリストは不要なアドウェア Adware.HiddenAds.7.origin と Adware.HiddenAds.8.origin を含んだアプリケーションをGoogle Play上で発見しました。このモジュールは、それが組み込まれたプログラムが使用されていない時でも独立して広告を表示させます。

11月後半、Doctor Webのエキスパートは Android.FakeApp トロイの木馬ファミリーに属するまた別の亜種をGoogle Play上で発見し、それらは Android.FakeApp.138、 Android.FakeApp.139、 Android.FakeApp.144 としてDr.Webのウイルスデータベースに追加されました。これらトロイの木馬はアプリケーションに潜み、調査に参加することで報酬を得ることができるとしてユーザーを騙します。起動されると詐欺サイトを開き、いくつかの質問に回答するようユーザーに促します。その後、ユーザーは「報酬」を受け取るために電信送金、通貨換算、または犯罪者によって指定されたその他の方法で手数料を支払うよう要求されます。ユーザーが支払いに同意すると指定された金額がサイバー犯罪者に振り込まれます。もちろん、ユーザーが報酬を受け取ることはありません。

そのほか、ダウンローダ型トロイの木馬 Android.DownLoader.832.origin がさまざまなユーティリティを装って拡散されました。このトロイの木馬は別の悪意のあるアプリケーションをダウンロードし、それらをインストールしようと試みます。

Google Playは依然として最も安全なAndroidアプリの提供元ではありますが、サイバー犯罪者によるGoogle Playからの悪意のあるソフトウェアの拡散は後を絶ちません。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。

2018年11月28日

株式会社Doctor Web Pacific

通常、サイバー犯罪者たちは従来の拡散経路を用いることが多く、その1つがスパムです。しかしながら、時にそれ以外の手法が用いられることもあります。本記事では、Doctor Webのエキスパートが発見したそのような事例について紹介します。

Trojan.Click3.27430 は、それ自体は特筆すべきものではなく、Webサイトのトラフィックを増加させるよくあるクリッカー型トロイの木馬です。興味深いのは犯罪者が被害者のデバイス上にこのマルウェアをインストールする際に用いる手法です。

このトロイの木馬は、固定IPアドレスを持たないコンピューターにサブドメインを結びつけることを可能にするDynDNSソフトウェアのユーザーを攻撃対象にしています。ウイルス作成者は、このプログラムを無料でダウンロードできるとするWebページdnsip.ruを作成し、さらに、訪問者を自動的にdnsip.ruにリダイレクトするdns-free.comドメインを所有しています。

このWebサイトでは実際にアーカイブをダウンロードすることができます。アーカイブには実行ファイル setup.exe が含まれていますが、これはDynDNSインストーラではなくダウンローダです。これにはインターネットからダウンロードされたファイルの名前が格納されており、Doctor Webで分析したサンプルでは "Setup100.arj" でした。

その明らかな拡張子に反し、 "Setup100.arj"はARJアーカイブではありません。実行可能なMZPEファイルであり、自動解析ツールやその他のアプリケーションにMZPEとして認識されないよう、その値のうち3つが改変されています。

まず初めに、このプログラムはPowerShellを使用してWindows Defenderを無効にし、信頼性を高めるために自身を動作させるレジストリキーに変更を加えます。

次に、ドロッパーがファイルinstsrv.exe、 srvany.exe、 dnshost.exe、 yandexservice.exeをSystem32フォルダに保存します。 Instsrv.exe、 srvany.exe、 dnshost.exeはWindowsのユーザー定義サービスを作成するためのMicrosoftユーティリティで、 yandexservice.exeが Trojan.Click3.27430 です。続けて、ドロッパーは Trojan.Click3.27430 の悪意のある機能を実行する実行ファイル yandexservice.exe を "YandexService" という名前のサービスとして登録します。このサービスはインストール時にWindows自動実行リストに追加されます。ドロッパーが悪意のあるサービスを保存して起動させると、DynDNSアプリケーションがインストールされます。ユーザーが感染したコンピューターからこのアプリケーションをアンインストールしようとした場合、DynDNSのみが削除され、 Trojan.Click3.27430 はシステムに残って悪意のある動作を続けます。

マルウェアアナリストはトロイの木馬のまた別のコンポーネントである実行ファイルdnsservice.exeについても調査を行いました。このファイルもまた、DNSサービスという名前のWindowsサービスとして感染したコンピューター上にインストールされます。ウイルス作成者はこのマルウェアプログラム内にある、以下の特定のデバッグ行を削除し忘れていました。

C:\Boris\Программы\BDown\Project1.vbp 
C:\Boris\Программы\BarmashSetService\Project1.vbp
C:\Boris\Программы\Barmash.en.new\Project1.vbp 
C:\Boris\Программы\Barmash_en_Restarter3\Project1.vbp

このコンポーネントは、barmash.ruからダウンロードされるアーカイブを装った dnsservice.arj ファイルとして拡散されています。

Trojan.Click3.27430 のすべての既知の亜種はDr.Webによって検出・削除されます。また、Webサイトdnsip.ru、 dns-free.com、 barmash.ruはWebアンチウイルスであるSpIDer Gateの非推奨サイトリストに追加されています。

Doctor Webの収集したデータによると、2013年に最初の感染が発生してから現在までに約1,400人のユーザーがこのトロイの木馬に感染しています。脅威の痕跡情報 (Indicator of Compromise) 一覧はこちらをご確認ください。

Trojan.Click3.27430の詳細(英語)

#clicker #Trojan

2018年11月27日

株式会社Doctor Web Pacific

犯罪者がユーザーから個人情報や金銭を盗むことを可能にするバンキング型トロイの木馬は、依然として最も危険なマルウェアプログラムの1つとなっています。Doctor Webのマルウェアアナリストはそのようなトロイの木馬をGoogle Play上で発見しました。このトロイの木馬は欧州の銀行利用者を多数攻撃していました。

Android.Banker.2876 と名付けられたこのトロイの木馬は、スペインのバンキア、ビルバオ・ビスカヤ・アルヘンタリア銀行(BBVA)、サンタンデール銀行、フランスのクレディ・アグリコル、グループバンク・ポピュレール、ドイツのポストバンクといった欧州の金融機関の公式アプリケーションを装って拡散されていました。合計で Android.Banker.2876 の6つの亜種がDoctor Webのエキスパートによって発見されています。これらはすべて、Doctor Webから連絡を受けたGoogle社によってGoogle Play上から直ちに削除されました。

ユーザーによって起動されると、 Android.Banker.2876 は電話を管理・発信する権限とSMSを受送信する権限を要求します。バージョン6.0以前のAndroidデバイスでは、トロイの木馬のインストール中にこれらの権限が自動的に与えられます。以下の画像は権限を要求するメッセージの例です。

Android.Banker.2876 は機密情報(モバイルデバイスの電話番号とカードのデータ、モバイルデバイスの仕様)を収集して Firebase クラウドに送信し、デバイスが感染したことを犯罪者に通知します。次に、トロイの木馬はプログラムを使用するために電話番号を入力するよう被害者に促すダイアログを表示させます。このバンキング型トロイの木馬のそれぞれの亜種は特定のユーザーに合わせて設計されています。例えば、スペインの銀行のアプリケーションを装ったバンキング型トロイの木馬では、そのインターフェイスと表示されるテキストがスペイン語になっています。

被害者が入力した電話番号はクラウドデータベースに転送されます。ユーザーには「登録」確認を待つように指示する第2のダイアログが表示されます。ダイアログには「送信」ボタンがあり、このボタンを押すと Android.Banker.2876 に組み込まれたゲームが起動し、ユーザーを驚かせます。

モバイルデバイスに関する情報のクラウドへのアップロードに成功した場合、トロイの木馬はホームスクリーンから自身のアイコンを隠し、感染したスマートフォンやタブレットがオンになる度に自動的にバックグラウンドで動作します。

Android.Banker.2876 は受信するSMSをすべて横取りし、その内容をローカルデータベースに保存します。メッセージのテキストはFirebaseにアップロードされると同時に、SMS経由でサイバー犯罪者のモバイル番号にも送信されます。その結果、犯罪者は銀行取引を確定するためのワンタイムパスワードやフィッシング攻撃に使用することのできるその他の機密情報を入手することが可能になります。また、トロイの木馬によって収集された電話番号はマルウェアの開発者が詐欺活動を計画する際に使用される可能性があります。

Android.Banker.2876 の既知のすべての亜種はDr.Web for Androidによって検出・駆除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Android.Banker.2876の詳細(英語)

#Android #Google_Play #banking_Trojan #phishing #fraud

2018年11月26日

株式会社Doctor Web Pacific

今日、違法な収益を得るために最も多く使用されているのは、ユーザーの同意なしにコンピューターのリソースを使用して密かに仮想通貨をマイニングするという方法です。Doctor Webはこの度、Linuxデバイスを感染させるマイナーを発見しました。このマルウェアは他のネットワークデバイスを感染させて動作中のアンチウイルスを削除することもできます。

Linux.BtcMine.174としてDr.Webのウイルスデータベースに追加されたこのトロイの木馬は1,000行を超えるコードを含んだ大きなシェルスクリプトで、複数のコンポーネントから構成されています。起動されると、 Linux.BtcMine.174 は後に他のモジュールをそこからダウンロードするサーバーが使用可能であることを確認し、それらモジュールのロード先となる書き込み権限を持ったフォルダをディスク上で検索します。その後、事前に選択されていた diskmanagerd という名前のフォルダにスクリプトが移動され、デーモンとして再起動されます。その際、トロイの木馬は nohup ユーティリティを使用します。システム内にこのユーティリティがない場合、トロイの木馬は nohup を含む coreutils パッケージを自動的にダウンロードしてインストールします。

インストールされると、悪意のあるスクリプトはトロイの木馬 Linux.BackDoor.Gates.9 のバージョンの1つをダウンロードします。このバックドアファミリーはサイバー犯罪者からのコマンドを実行し、DDoS攻撃を行うことを可能にします。

システム内にインストールされた Linux.BtcMine.174 は競合するマイナーを探し、見つかった場合はそれらのプロセスを終了させます。 Linux.BtcMine.174 が root として起動されていない場合は、複数のエクスプロイトを使用して、感染させたシステム内で自身の権限を昇格させます。Doctor Webのマルウェアアナリストは Linux.BtcMine.174 が使用する少なくとも2つのエクスプロイト、 Linux.Exploit.CVE-2016-5195(DirtyCow とも呼ばれます)および Linux.Exploit.CVE-2013-2094 を特定しました。このトロイの木馬はDirtyCowソースファイルをインターネットからダウンロードし、それらを感染したマシン上で直接コンパイルします。

その後、マルウェアはsafedog、 aegis、 yunsuo、 clamd、 avast、 avgd、 cmdavd、 cmdmgd、 drweb-configd、 drweb-spider-kmod、 esets、 xmirrordという名前の動作中のアンチウイルスソフトウェアサービスを探します。それらが見つかった場合、トロイの木馬はアンチウイルスのプロセスを終了させるだけでなく、パッケージマネージャを使用して、製品がインストールされているフォルダと製品のファイルを削除します。

続けて、 Linux.BtcMine.174 は自身を自動実行リストに追加し、感染したデバイス上でルートキットをダウンロードして起動させます。このモジュールはパブリックドメインで公開されたソースコードを基にしたshスクリプトでもあります。ルートキットモジュールの持つ注目すべき機能には、suコマンドのユーザーが入力したパスワードを盗む、ファイルシステム、ネットワーク接続、動作中のプロセス内のファイルを隠す、というものがあります。 Linux.BtcMine.174 はコンピューターがこれまでにSSH経由で接続していたホストに関する情報を収集し、それらホストを感染させようとします。

これらすべてのステップが完了すると、 Linux.BtcMine.174 はシステム内で Monero(XMR) のマイナーを起動させ、それが動作しているかどうかを毎分確認し、必要な場合は自動的に再起動させます。また、利用可能な更新をダウンロードするために連続したループで管理サーバーに接続します。

Linux.BtcMine.174 とそのコンポーネントはすべてLinux向けのDr.Webアンチウイルスによって検出されます。したがって、Dr.Webのユーザーに危害が及ぶことはありません。

脅威の痕跡情報 (Indicators of Compromise) の一覧はこちらをご確認ください： https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174

Linux.BtcMine.174の詳細(英語)

#Linux #cryptocurrency #mining #Trojan

2018年11月6日

株式会社Doctor Web Pacific

10月、Doctor Webはオンラインスキャミングに関する調査の結果を公開しました。サイバー犯罪者による被害者数は1万人を超え、被害総額は2万4千ドルとなっています。

10月を通して、個人データを漏洩させると脅したうえでユーザーから金銭を要求するメールが配信されていました。スキャマーはメールアドレスとパスワードを含む登録データを複数のデータベースから入手していたと考えられます。犯罪者はそれらのアドレス宛に「パスワードを知っている。お前のコンピューターにマルウェアをインストールした」といった内容のメールを送信し、個人情報を公開されたくなければビットコインで500～850ドル支払うよう要求しています。

スキャマーはいくつかのビットコインウォレットを積極的に使用しており、 blockchain.comの情報から判断すると、すでに複数のユーザーが詐欺被害にあっています。

金銭を脅し取るこの手法は、このところサイバー犯罪者の間で大きな人気を集めています。犯罪者は様々な脅迫をメールで送信しますが、メールアドレスとパスワードの組み合わせは限られています。そしてもちろん、スキャマーはその情報を得るためにウイルスやトロイの木馬を使用したわけではありません。ユーザーはパスワードを変更するだけで、そのような攻撃から自分を守ることができます。

10月の脅威

10月、Doctor Webのエキスパートによる大規模な調査の結果が公開されました。Doctor Web のマルウェアアナリストはInvestimer、 Hyipblock、 Mmpowerという名前で知られるサイバー犯罪者の活動について分析を行いました。これらサイバー犯罪者は目的を達成するために、スティーラーやダウンローダー、バックドア、そしてクリップボードの内容を置き換えるモジュールの組み込まれたトロイの木馬マイナーを含む、幅広いマルウェアを使用しています。

Investimerは主に仮想通貨詐欺に焦点を当て、収益を得るために多岐にわたる手法を用いています。すなわち、いくつかの例として、偽の仮想通貨取引所、マイニングファーム、広告を見ることで報酬を得ることができるアフィリエイトプログラム、オンライン宝くじを作成しています。

概していえば、このサイバー犯罪者がインターネットユーザーを欺くために使用する方法は次のとおりです。被害者は様々な方法で偽のサイトに誘導され、そこでクライアントプログラムをダウンロードするよう要求されます。ここで実際にダウンロードされるのはクライアントではなく、犯罪者のコマンドに従って別のマルウェアをコンピューターにインストールするトロイの木馬です。それらのプログラム(主にスティーラー型トロイの木馬)は感染したデバイスから機密データを盗み、スキャマーは後にそれを使用して仮想通貨を盗んだり、決済システムを通じて被害者の口座から金銭を盗んだりします。

Doctor Webのアナリストは、 Investimerの違法行為による被害を受けたユーザーの数は合計で1万人を超えるとしています。また、被害額は2万3千ドルを超え、その上さらに、現在のレートで900ドルに相当する18万2千 Dogecoin以上が加わっています。この調査に関する詳細については、こちらの記事をご覧ください。

Doctor Web統計サーバーによる統計

JS.BtcMine

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.SpyBot.699

感染したデバイスのキーボードをクリックジャックし、コマンドを実行して機密情報を盗むよう設計されたスパイウェア型トロイの木馬です。

Trojan.Starter.7394

感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。

Trojan.Encoder.11432

WannaCryとして知られる暗号化ワームです。

メールトラフィック内で検出された脅威の統計

JS.BtcMine

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

W97M.DownLoader

オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。

Trojan.Encoder.26375

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬です。

Trojan.PWS.Stealer

感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。

Trojan.SpyBot.699

感染したデバイスのキーボードをクリックジャックし、コマンドを実行して機密情報を盗むよう設計されたスパイウェア型トロイの木馬です。

暗号化ランサムウェア

2018年10月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました。

• Trojan.Encoder.858 — リクエストの20.04%
• Trojan.Encoder.11464 — リクエストの11.67%
• Trojan.Encoder.567 — リクエストの6.23%
• Trojan.Encoder. 25574 — リクエストの5.84%
• Trojan.Encoder.1539 — リクエストの4.86%
• Trojan.Encoder.5342 — リクエストの1.75%

危険なWebサイト

2018年10月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は156,188件となっています。

モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム

10月上旬、Androidバンカー Android.BankBot.1781 が検出され、Dr.Webのウイルスデータベースに追加されました。このトロイの木馬は補助モジュールをダウンロードして起動するほか、攻撃者から受け取ったC#コードをコンパイルし、実行することができます。続けて、Google Play上で複数のトロイの木馬が発見され、それらの中には詐欺サイトを読み込んで表示させるマルウェア Android.FakeApp.125 および Android.Click.245.origin が含まれていました。

10月の終わりにはダウンローダ型トロイの木馬 Android.DownLoader.818.origin および Android.DownLoader.819.origin がGoogle Play上で発見されました。これらトロイの木馬は別のAndroidトロイの木馬をダウンロードし、モバイルデバイス上にインストールしようと試みます。そのほか、Dr.Webのマルウェアアナリストは無害なソフトウェアを装って拡散されている悪意のあるアプリケーション Android.RemoteCode.192.origin および Android.RemoteCode.193.origin について調査を行いました。これらトロイの木馬は広告を表示させ、補助モジュールをダウンロードすることができるほか、犯罪者がYouTubeに投稿した動画を開くことができます。これにより、再生回数を増やして動画の人気を高めることができます。

10月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• Google Play上で悪意のあるアプリケーションを検出
• 悪意のあるコードをコンパイルして実行することができる危険なバンキング型トロイの木馬の拡散

モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。

2018年11月2日

株式会社Doctor Web Pacific

10月、情報セキュリティスペシャリストは、悪意のあるモジュールをダウンロードして起動するだけでなく、リモートサーバーから送信されたC#スクリプトを実行することもできるAndroidトロイの木馬を発見しました。また、Google Play上でも悪意のあるアプリケーションが検出されています。

10月のモバイル脅威

Doctor Webのスペシャリストは、ダウンローダ型トロイの木馬 Android.DownLoader.818.origin の組み込まれたアプリケーションがVPNクライアントを装ってGoogle Playから拡散されていることを発見しました。このマルウェアはアドウェア型トロイの木馬をダウンロードし、それをモバイルデバイス上にインストールしようと試みます。その後、このダウンローダの新たな亜種 Android.DownLoader.819.origin および Android.DownLoader.828.origin がマルウェアアナリストによって発見されました。これらトロイの木馬はゲームを装って拡散され、次のような機能を備えています。

• システムから削除されるのを防ぐため、管理者権限を要求する。
• OSのメイン画面にあるプログラムのリストから自身のアプリアイコンを隠す。
• システムソフトウェアを装った別のトロイの木馬をダウンロードし、それらをインストールするようユーザーに促す。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

Android.Backdoor.1521

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.HiddenAds.261.origin

Android.HiddenAds.288.origin

モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.DownLoader.573.origin

別のマルウェアアプリケーションをダウンロードするトロイの木馬です。

Adware.Zeus.1

Adware.Gexin.2.origin

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Aesads.1.origin

Androidアプリケーションに組み込まれ、モバイルデバイス上に迷惑な広告を表示するように設計された不要なプログラムモジュールです。

Google Play上のトロイの木馬

10月の初め、Doctor WebのエキスパートはGoogle Play上で Android.FakeApp.125 を検出しました。このトロイの木馬は簡単な質問に回答するだけで報酬を貰えるというプログラムを装っていました。実際には、 Android.FakeApp.125 は管理サーバーからのコマンドに応じて詐欺サイトを読み込み、表示させます。

続けて、セキュリティリサーチャーはVKontakte内で人気のCloverゲームを装って拡散されていた Android.Click.245.origin を発見しました。 Android.FakeApp.125 同様、 Android.Click.245.origin は詐欺サイトを読み込み、それらをユーザーに対して表示させます。

10月下旬、Doctor Webのアナリストは Android.RemoteCode.192.origin および Android.RemoteCode.193.origin について調査を行いました。これらのマルウェアは一見無害な18のプログラム（バーコードスキャナー、ナビゲーションソフトウェア、ファイルダウンロードマネージャ、様々なゲームなど）に潜み、160万台を超えるAndroidモバイルデバイス上にインストールされています。これらトロイの木馬は悪意のあるモジュールをダウンロードして起動しますが、そのほかにYouTube動画を開いて再生回数を増やし、動画の人気を高めることができます。

また、Dr.Webウイルスデータベースには新たなマルウェア Android.DownLoader.3897、 Android.DownLoader.826.origin、 Android.BankBot.484.originが追加されています。これらのマルウェアはバンキング型トロイの木馬をダウンロードしてモバイルデバイス上にインストールしようとします。

その他の脅威

10月に検出されたその他のモバイルマルウェアに、モジュール構造を持つAndroidバンカー Android.BankBot.1781 があります。このマルウェアは管理サーバーのコマンドに従って様々なトロイの木馬プラグインをダウンロードするほか、C#スクリプトをダウンロードして実行することができます。 Android.BankBot.1781 はクレジットカードの情報やSMSメッセージ、その他の機密情報を盗みます。

サイバー犯罪者はGoogle Playや詐欺サイト、ハッキングしたサイトからAndroidモバイルデバイス向けの悪意のあるプログラムを拡散しています。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。

2018年10月26日

株式会社Doctor Web Pacific

Doctor Webでは、VPNクライアント、すなわち仮想プライベートネットワークに接続することを可能にするソフトウェアとして拡散されていた、ダウンローダ型トロイの木馬 Android.DownLoader.818.origin について、以前に記事を掲載しています。マルウェアアナリストはこの悪意のあるアプリケーションに関する調査を続け、この度、新たな亜種を発見しました。 Android.DownLoader.819.origin と名付けられたこの亜種は Android.DownLoader.818.origin と同様Google Playから拡散されており、少なくとも51,100人のユーザーによってインストールされています。

Android.DownLoader.819.origin は他の悪意のあるアプリケーションをAndroidデバイス上にインストールして起動させるダウンローダです。開発者Quoacによってゲームを装って拡散されています。 Android.DownLoader.819.origin の14のコピーが少なくとも51,100人のAndroidモバイルデバイスユーザーによってインストールされているということが、Doctor Webのエキスパートによって明らかになっています。Doctor Webは特定されたソフトウェアに関するデータをGoogle社に送り、本記事掲載時点で、該当するソフトウェアはGoogle Playから削除されています。

以下の表は検出された悪意のあるアプリケーションに関する情報です。

Android.DownLoader.819.origin は Android.DownLoader.818.origin の亜種で、同じ機能を備えています。起動されると、SDカードへの読み書きアクセスを要求し、モバイルデバイス管理者として設定するようユーザーに促します。アクセスを取得すると、自身のアイコンをメインメニューから削除し、デバイス上で存在を隠します。その後、ユーザーは「ゲーム」を起動することはできず、悪意のあるアプリケーションはシステム設定のインストールされたプログラムのリスト内でしか見つかりません。

必要な権限が与えられると、このトロイの木馬はリモートサーバーに接続し、APKファイルをバックグラウンドでダウンロードします。次に、それをインストールするようユーザーに要求しします。ユーザーが拒否した場合は、インストールに同意するまで20秒ごとに同じダイアログを表示させます。トロイの木馬によってダウンロード・インストールされるファイルは、感染したスマートフォンやタブレットの画面がオンになる度に広告を表示させる Android.HiddenAds.728 というマルウェアです。

ダウンローダ型トロイの木馬 Android.DownLoader.819.origin のすべての既知の亜種と、それらによってダウンロードされるマルウェアはAndroid向けのDr.Web製品によって検出・駆除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。

• Android.DownLoader.819.originの詳細(英語)
• Android.HiddenAds.728の詳細(英語)

2018年10月25日

株式会社Doctor Web Pacific

ダウンローダ型トロイの木馬は、サイバー犯罪者が他のトロイの木馬を拡散させるために使用するマルウェアです。この度、Doctor WebのマルウェアアナリストはGoogle Play上でこれらダウンローダの1つを発見しました。このトロイの木馬は仮想プライベートネットワーク(VPN)に接続するよう設計されたソフトウェアに隠されていました。

Android.DownLoader.818.origin と呼ばれるこのトロイの木馬は、11,000人を超えるAndroidモバイルデバイスユーザーにダウンロードされている無制限・無料のVPN&プロキシであるTurbo VPNに組み込まれていました。悪意のあるアプリケーションの名前はInnovative Connectingによる人気のVPNクライアント『Turbo VPN』(無制限・無料のVPN&高速・セキュリティの高いVPN)と極めてよく似ていますが、本物とは何の関係もありません。トロイの木馬作成者は Android.DownLoader.818.origin をよく知られたVPNソフトウェアに似せることで被害者を騙し、ダウンロード数を増やそうと目論んでいます。

起動されると、 Android.DownLoader.818.origin は読み込みおよび書き込み権限を要求し、モバイルデバイス上での管理者権限を与えるようユーザーに促します。

攻撃者はトロイの木馬の作成時にオープンソースプロジェクトであるAndroid用OpenVPNからデータを借りているため、 Android.DownLoader.818.origin は実際にVPNでの動作を可能にします。ただし、このアプリケーションをインストールしたユーザーはそれを使用することができません。必要なシステム権限が与えられた後、 Android.DownLoader.818.origin はメインスクリーン上のプログラムのリストから自身のアイコンを削除し、その後、このトロイの木馬VPNクライアントは起動しなくなります。

ユーザーから自身の存在を隠すと、このマルウェアはリモートサーバーからバックグランドでAPKファイルをダウンロードし、メモリーカード上に保存します。次に、ダウンロードしたアプリケーションをインストールするよう、ユーザーが同意するまでプロンプトを出し続けます。以下の画像は、 Android.DownLoader.818.origin によって表示される、プログラムのインストールを促すダイアログの例です。

Android.DownLoader.818.origin の分析を行った結果、ダウンロードされるファイルは広告を表示させる Android.HiddenAds.710 であるということが明らかになりました。ただし、サーバーの設定や攻撃者の目的によって、 Android.DownLoader.818.origin は他の悪意のあるアプリケーションや不要なアプリケーションをダウンロードし、それらのインストールを試みる可能性があります。

Doctor Webでは、Google Play上で発見された危険なソフトウェアについてGoogle社に報告を行い、当該ソフトウェアは直ちにリストから削除されました。

Android向けDr.Webは上記トロイの木馬をすべて検出・駆除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

• Android.DownLoader.818.originの詳細(英語)
• Android.HiddenAds.710の詳細(英語)

2018年10月19日

株式会社Doctor Web Pacific

Doctor Webのアナリストは、仮想通貨を狙ったサイバー犯罪者の活動について調査を行いました。 Investimerとして知られる攻撃者は違法な収益を得るために幅広い種類のマルウェアや多岐にわたる手法を使用しています。

Investimer、HyipblockあるいはMmpowerと呼ばれているオンラインスキャマーは、現在アンダーグラウンドマーケットで広く流通しているスティーラーであるEredel、 AZORult、 Kpot、 Kratos、 N0F1L3、 ACRUX、 Predator The Thief、 Arkei、 Ponyなどの幅広い種類の商用トロイの木馬を使用しています。また、 TeamViewerを利用した Spy-Agent バックドア、 VNCプロトコル経由でコンピューターにアクセスする DarkVNC および HVNC バックドア、 RMSベースのバックドアも使用しているほか、 Smoke Loaderを広く利用し、以前はクリップボードの内容を変更するクリッパーを備えたマイニング型トロイの木馬と Loader by Danij を使用していました。 Investimerは管理サーバーをjino.ru、 marosnet.ru、 hostlife.netなどのWebサイトに設置しています。それらの多くは Cloudflare によって保護され、実際のIPアドレスは隠されています。

Investimerの主な目的は仮想通貨詐欺です。特にDogecoin(ドージコイン)に焦点を当て、実際のオンラインリソースを置き換えるフィッシングサイトを多数作成しています。それらの中には偽の仮想通貨取引所があり、そこでは特別なクライアントソフトウェアが必要であるとされていますが、実際にはこのソフトウェアこそが被害者のコンピューターにダウンロードされる Spy-Agent トロイの木馬です。

Investimerのまた別の「startup」は、 Dogecoinの存在しないマイニングプールの低価格でのレンタルです。プールを使用するために、被害者はパスワード保護されたアーカイブに含まれたクライアントアプリケーションをダウンロードします。このパスワードが、アンチウイルスがアーカイブをスキャンし、ダウンロード時点で削除することを防ぎます。もちろん、アーカイブに含まれているのはクライアントアプリケーションではなくスティーラー型トロイの木馬です。

Investimerのさらに別の詐欺プロジェクトには仮想通貨Etheriumを狙ったものがあります。 Investimerは、特別なアプリを装った悪意のあるプログラムをインストールすればWebサイトを見ることができると被害者を騙します。Webサイトを訪問するとトロイの木馬が自動的にダウンロードされます。このスキャマーは、サービスに関する偽のレビューまで書いています。

また、 Investimerによるその他のオンライン詐欺に、 Dogecoinで賞金をもらえるオンライン宝くじがあります。もちろん、参加者が宝くじに当たることはなく、主催者のみが収益を得ることができるようになっています。それにもかかわらず、本記事掲載時点で5,800人を超えるユーザーが Investimer のサイトが実施する宝くじに参加しています。

オンライン宝くじとは別に、 Investimerは広告を含んだWebページを見ることでDogecoinでの報酬を受け取ることができるというプロジェクトも実施しており、このプロジェクトには11,000人を超えるユーザーが登録しています。

被害者がインターネットサーフィンで収益を得るためのブラウザプラグインをダウンロードしようとすると、そのプラグインを装ったバックドアが「パートナー」サイトからユーザーのコンピューターにダウンロードされます。次に、このバックドアが感染したデバイスにスティーラー型トロイの木馬をインストールします。

Investimerは従来のフィッシングも使用しています。 Etherium決済システムを新しいユーザーに紹介することで報酬を提供するというサイトを作成し、登録時にユーザーが入力した情報が犯罪者に送信されるようにしています。

そのほか、 Investimerは公式の cryptobrowser.site をコピーしようと試みています。オリジナルサイトのプロジェクトクリエイターはユーザーがWebページを閲覧している間に仮想通貨マイナーをバックグランドで実行する新しいWebブラウザを開発しています。 Investimerによって作成された偽サイトの品質はあまり高くありません。一部の画像が表示されず、使用許諾契約には本物の開発者のメールアドレスが記載され、ブラウザを装ったトロイの木馬は別のドメインからダウンロードされます。以下の画像は Investimer による偽のサイト(左)と本物のサイト(右)です。

Investimerは、ファイナンシャル・ピラミッド原則に基づくオンラインゲームなど、他のオンライン詐欺にも関わっていると言われています。Investimerは仮想通貨を盗む目的でスティーラー型トロイの木馬によって収集された情報を使用し、様々な電子決済システムのウォレットから金銭を盗みます。ハッキングしたコンピューターにアクセスするためのInvestimerのコントロールパネルには、それぞれの被害者に関する卑猥なコメントが含まれていますが、検閲に引っかかってしまうため掲載することはできません。

概していえば、このサイバー犯罪者がインターネットユーザーを欺くために使用する方法は次のとおりです。被害者は様々な方法で偽のサイトに誘導され、そこでクライアントプログラムをダウンロードするよう要求されます。ここで実際にダウンロードされるのはクライアントではなく、犯罪者のコマンドに従って別のマルウェアをコンピューターにインストールするトロイの木馬です。それらのプログラム(主にスティーラー型トロイの木馬)は感染したデバイスから機密データを盗み、スキャマーは後にそれを使用して仮想通貨を盗んだり、決済システムを通じて被害者の口座から金銭を盗んだりします。

Doctor Webのアナリストは、Investimerの違法行為による被害を受けたユーザーの数は合計で10,000人を超えるとしています。また、被害額は23,000ドルを超え、さらに現在のレートで900ドルに相当する182,000 Dogecoin以上が加わっています。

Investimerによって作成されたすべてのWebサイトのアドレスはDr.Web SpIDer Gateのデータベースに追加され、スキャマーが使用するすべてのマルウェアは、Dr.Webのアンチウイルスによって検出・削除されています。

IOC(Indicators of Compromise)のリストは、こちらから確認できます。

#criminal #cryptocurrencies #mining #fraud

2018年10月9日

株式会社Doctor Web Pacific

2018年9月には、ブラジルの金融機関の利用者を脅かすバンキング型トロイの木馬が拡散されました。この悪意のあるソフトウェアの300を超えるサンプルと、バンキング型トロイの木馬がそこからコンポーネントをダウンロードしていた120を超えるオンラインメディアサイトがDoctor Webのスペシャリストによって発見されています。また、危険なAndroidアプリケーションも新たに検出されています。

9月の脅威

金融機関の利用者から金銭を盗むよう設計されたバンキング型トロイの木馬は世界中で広く拡散されています。9月、Doctor Webのセキュリティリサーチャーによって新たなバンキング型トロイの木馬が発見され、 Trojan.PWS.Banker1.28321 と名付けられました。このバンキング型トロイの木馬はブラジルの住民を標的としています。これまでに、 Trojan.PWS.Banker1.28321 の340を超えるサンプルと、129のドメインとIPアドレスが検出されています。これらのドメインとIPアドレスはサイバー犯罪者が所有するもので、トロイの木馬はそれらを使用して悪意のあるライブラリを含んだアーカイブをダウンロードしていました。

このトロイの木馬はPDF文書を表示させるAdobe Readerを装って拡散され、システム言語がポルトガル語になっているWindows搭載コンピューターを感染させます。 Trojan.PWS.Banker1.28321 の悪意のある機能はすべて、暗号化されて圧縮された動的ライブラリ含まれており、トロイの木馬はこのライブラリをサイバー犯罪者のWebサイトからダウンロードします。

ユーザーがブラジルの様々な金融機関のインターネットバンキングサイトをブラウザのウィンドウで開くと、 Trojan.PWS.Banker1.28321 は密かにWebページを置き換え、偽の認証フォームを表示させます。銀行から受け取ったSMSメッセージに含まれる認証コードを入力するよう要求する場合もあります。入力された情報はサイバー犯罪者に送信されます。この脅威に関する詳細については、こちらの記事をご覧ください。

Doctor Web統計サーバーによる統計

JS.BtcMine.7

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.Encoder.567

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬ファミリーに属する悪意のあるプログラムです。

Trojan.SpyBot.699

感染したデバイスのキーボードをクリックジャックし、コマンドを実行して機密情報を盗むよう設計されたスパイウェアです。

Trojan.PWS.Stealer.1932

ユーザーパスワードなどの機密情報を盗む、Windows向けトロイの木馬です。

メールトラフィック内で検出された脅威の統計

Trojan.Encoder.567

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬ファミリーに属する悪意のあるプログラムです。

JS.BtcMine.7

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.PWS.Stealer

感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。

W97M.DownLoader

オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。

暗号化ランサムウェア

2018年9月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました。

• Trojan.Encoder.567—リクエストの16.94%
• Trojan.Encoder.858—リクエストの12.71%
• Trojan.Encoder.11464—リクエストの10.68%
• Trojan.Encoder.25574—リクエストの4.79%
• Trojan.Encoder.24249—リクエストの4.42%
• Trojan.Encoder.11539—リクエストの1.84%

危険なWebサイト

2018年9月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は271,605件となっています。

モバイルデバイスを脅かす悪意のある、または望まないプログラム

9月、 Android.Click ファミリーに属するトロイの木馬が再びGoogle Play上で発見されました。その多くはブックメーカーの公式プログラムを装って拡散されていました。これらのトロイの木馬はサイバー犯罪者のコマンドに従ってブックメーカーのWebサイトを開くようになっていますが、いずれは詐欺サイトを含む様々なサイトをダウンロードするようになる可能性があります。そのほか、 Android.Click.265.origin が再びGoogle Play上に侵入を果たしています。このトロイの木馬は良く知られた企業の公式ソフトウェアを装って拡散され、有料サービスサイトをダウンロードして自動的に確定ボタンをクリックすることでユーザーを高額なサービスに登録させます。

9月には悪意のあるプログラム Android.Banker.2855、 Android.Banker.2856、 Android.Banker.283.originもGoogle Play上で検出されています。これらは一見無害なプログラムに潜んでいました。

また、サイバースパイ行為を行うよう設計された危険なトロイの木馬 Android.Spy.460.origin も拡散されました。そのほか、商用スパイウェアプログラムの新たなバージョン Program.SpyToMobile.1.origin、 Program.Spy.11、 Program.GpsSpy.9、 Program.StealthGuru.1、 Program.QQPlus.4、 Program.DroidWatcher.1.origin、 Program.NeoSpy.1.origin、 Program.MSpy.7.origin、 Program.Spymaster.2.originなどが検出されています。これらのアプリケーションはSMSのやり取りや通話履歴を監視し、デバイスの位置を検出し、連絡先リストをリモートサーバーにコピーし、Webブラウザの履歴とその他のユーザーの個人情報を盗むことができます。

9月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• Google Play上で悪意のあるアプリケーションを検出
• スパイウェアの拡散
• Androidデバイスユーザーをスパイするよう設計された新たな商用プログラムを検出

モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらのレビューをご覧ください。

2018年10月5日

株式会社Doctor Web Pacific

2018年9月、Doctor WebのウイルスアナリストはGoogle Play上で多数のトロイの木馬を発見しました。また、様々なバンキング型トロイの木馬がモバイルデバイスのユーザーを脅かし、サイバースパイ行為を行うよう設計された危険なトロイの木馬が拡散されました。そのほか、既知の商用スパイウェアプログラムの新たなバージョンが検出され、Dr.Webのウイルスデータベースに追加されています。

9月のモバイル脅威

2018年9月、危険なスパイウェア型トロイの木馬 Android.Spy.460.origin がAndroidモバイルデバイスのユーザーを脅かしました。このトロイの木馬がDoctor Webのウイルスアナリストによって最初に発見されたのは2018年6月のことです。このマルウェアはシステムアプリケーションを装って、「Google Carrier Service」などの名前で詐欺サイトから拡散されています。

Android.Spy.460.origin は、感染したスマートフォンやタブレットのSMSのやり取りと位置を追跡し、通話を盗聴し、デバイスの内蔵マイクを使用して周囲の音声を録音し、 連絡先とカレンダーからデータを盗み、Webブラウザの履歴とブックマークをサイバー犯罪者に送信します。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

Android.Backdoor.1572

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.HiddenAds

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.Mobifun.4

別のマルウェアアプリケーションをダウンロードするトロイの木馬です。

Adware.Zeus.1

Adware.Gexin.2.origin

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Aesads.1.origin

Androidアプリケーションに組み込まれ、モバイルデバイス上に迷惑な広告を表示するように設計された不要なプログラムモジュールです。

Google Play上の脅威

9月にはGoogle Play上で多くの悪意のあるプログラムが確認され、 Android.Click ファミリーに属するトロイの木馬が再びDoctor Webのスペシャリストによって発見されました。これらトロイの木馬は公式のブックメーカーアプリを装って拡散されていました。すでに知られているトロイの木馬(9月3日の記事参照)のほかに17の新たな亜種がウイルスアナリストによって検出され、合計で62,000人以上のユーザーがこの悪意のあるアプリケーションをインストールしています。

起動されると、これらトロイの木馬はC&Cサーバーからのコマンドで指定されたブックメーカーのWebサイトをユーザーに対して表示させます。ただし、いずれは、ブックメーカー以外の危険なWebサイトを開くよう指示するコマンドを受け取るようになる可能性もあります。

また別のクリッカー型トロイの木馬 Android.Click.265.origin もGoogle Play上に侵入を果たしています(こちらの記事を参照)。このトロイの木馬は有料コンテンツのWebサイトを開き、ユーザーを高額なサービスに登録させます。その際、 Android.Click.265.origin は表示されたウィンドウ内で自動的に確定ボタンをクリックし、有料サービスにアクセスします。9月には、このマルウェアが Sitilink (Eコマース)や O'STIN (衣料品店)などの良く知られたロシア企業のアプリを装って拡散されていました。

そのほか、Android.Click.265.origin と同様の機能を持った Android.Click.223.origin がロシアの衣料品店 Gloria Jeans と TVOE の無害なプログラムを装って拡散されました。

9月には、Google Play上でバンキング型トロイの木馬が再び検出されました。そのうちの2つ、 Android.Banker.2855 と Android.Banker.2856 はサーバーユーティリティや星占いとして拡散されていました。これらの悪意のあるプログラムは、金融機関利用者の口座のログイン認証情報を盗む隠されたバンカーを抽出して起動させます。

Google Play上に侵入を果たしたもう1つのバンキング型トロイの木馬に Android.Banker.283.origin があります。このトロイの木馬はトルコの金融機関の公式アプリとして拡散されていました。

スパイウェア

9月には、商用スパイウェアプログラムの新たなバージョン Program.SpyToMobile.1.origin、 Program.Spy.11、 Program.GpsSpy.9、 Program.StealthGuru.1、 Program.QQPlus.4、 Program.DroidWatcher.1.origin、 Program.NeoSpy.1.origin、 Program.MSpy.7.origin、 Program.Spymaster.2.originなどが検出されました。これらのアプリケーションはAndroidモバイルデバイスのユーザーをスパイするよう設計されており、サイバー犯罪者がSMSのやり取りを横取りし、通話やスマートフォンとタブレットの位置を追跡し、Webブラウザの履歴とブックマークにアクセスし、機密情報を盗むことを可能にします。

サイバー犯罪者はAndroidスマートフォンやタブレットを感染させる新しいトロイの木馬やリスクウェアを次々と作成し、それらアプリケーションの多くがGoogle Play上から拡散され続けています。Androidモバイルデバイスを保護するため、Android向けのDr.Webアンチウイルス製品を使用することをお勧めします。

2018年9月28日

株式会社Doctor Web Pacific

最新のバンキング型トロイの木馬は、ハイテクからユーザーの不注意やだまされやすさを利用したものまで、被害者の銀行口座から金銭を盗むために様々な方法を用いています。本記事では、Doctor Webのエキスパートによって発見された、ブラジルのリモートバンキングシステムのユーザーを脅かすバンカーについて紹介します。これまでに、このバンカーの300を超えるサンプルと、それらによって使用される120台のサーバー、そして拡散されている国が特定されています。

Trojan.PWS.Banker1.28321 という名前でDr.Webのウイルスデータベースに追加されたこのトロイの木馬は、PDF文書を表示させるAdobe Readerを装って拡散されています。起動されると、 Trojan.PWS.Banker1.28321 はAdobe Readerの名前がついたウィンドウを表示させます。

このトロイの木馬は、それが仮想環境で実行されているかどうかを確認し、仮想マシンが検出された場合は動作を終了します。また、Windowsの言語設定を監視し、システム言語がポルトガル語ではなかった場合、いかなる動作も実行しません。

トロイの木馬自体は.NETで書かれていますが、ローダーモジュールはVBscriptスクリプトとして実装されています。このローダーモジュールは標準的な MSScriptControl.ScriptControl COMオブジェクトによって起動され、管理サーバーに接続してそこから2つのZIPアーカイブをダウンロードします。その1つにはDelphi開発環境を使用して作成された、難読化された動的ライブラリが含まれています。そして、このライブラリに悪意のあるプログラムの主な機能が含まれています。

ユーザーがブラジルの様々な金融機関のインターネットバンキングサイトをブラウザのウィンドウで開くと、 Trojan.PWS.Banker1.28321 は密かにWebページを置き換え、偽の認証フォームを表示させます。銀行から受け取ったSMSメッセージに含まれる認証コードを入力するよう要求する場合もあります。入力された情報はサイバー犯罪者に送信されます。

ユーザーが訪問したインターネットバンキングサイトの内容を置き換えるこのような手法は多くのバンキング型トロイの木馬によって使用されています。多くの場合、それらトロイの木馬はブラジルのみでなく世界中の金融機関の利用者を脅かしています。過去1カ月の間に、Doctor Webのスペシャリストは340を超える Trojan.PWS.Banker1.28321 の亜種を特定し、トロイの木馬が悪意のあるライブラリをダウンロードしていたサイバー犯罪者のインターネットリソースの129のドメインとIPアドレスを発見しました。このことは、バンキング型トロイの木馬が広く拡散されていることを示しています。Dr.Web のウイルスデータベースには Trojan.PWS.Banker1.28321 のすべての既知の亜種に関する情報が追加され、それらトロイの木馬によって使用されるサーバーのアドレスもSpIDer GateのWebアンチウイルスデータベースに追加されています。したがって、Dr.Web のユーザーに危害が及ぶことはありません。

Trojan.PWS.Banker1.28321の詳細(英語)

#banker #banking_Trojan #online-banking #Trojan

2018年9月7日

株式会社Doctor Web Pacific

8月、Doctor Webのセキュリティリサーチャーは、仮想通貨を密かにマイニングするように設計されたマイナートロイの木馬の拡散を検出しました。これらのプログラムはWindows搭載デバイスとLinux搭載デバイス向けに設計されていました。また、8月には新たなAndroid向けトロイの木馬がDr.Webのウイルスデータベースに追加されています。

8月の脅威

6月を境に、サイバー犯罪者は Linux.BtcMine.82 という名前でウイルスデータベースに追加された悪意のあるプログラムを使用するようになりました。Goで書かれたこのトロイの木馬は、パックされたマイナーを本体に含んだドロッパーです。ドロッパーはマイナーをディスクに保存して起動します。次に、マイナーが仮想通貨 Monero(XMR) のマイニングを開始します。Doctor Webのセキュリティーリサーチャーは、サイバー犯罪者のサーバー上でWindows向けに設計された他のマイナーもいくつか検出しています。

検出された悪意のあるプログラムはすべてDr.Webのウイルスデータベースに追加されています。この脅威に関する詳細については、こちらの記事をご覧ください。

Doctor Web統計サーバーによる統計

JS.BtcMine.7

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.Encoder.11432

WannaCryとして知られる暗号化ワームです。

Trojan.BtcMine

感染させたコンピューターのリソースを密かに使用し、Bitcoinなどの暗号通貨を生成するよう設計されたトロイの木馬のファミリーです。

Win32.HLLW.Shadow

リムーバブルメディアやネットワークドライブ経由で自身を複製するワームです。また、標準的なSMBプロトコルを使用してネットワーク経由で拡散されます。C&Cサーバーから実行ファイルをダウンロードし、実行するよう設計されています。

メールトラフィック内で検出された脅威の統計

Trojan.PWS.Stealer

感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。

Trojan.Encoder.567, Trojan.Encoder.25843

ファイルを暗号化し、復元するために身代金を要求するエンコーダです。

JS.BtcMine

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.Inject

他のプログラムのプロセス内に悪意のあるコードを挿入する、悪意のあるプログラムのファミリーです。.

暗号化ランサムウェア

2018年8月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした：

• Trojan.Encoder.858 - リクエストの20.00%
• Trojan.Encoder.11464 - リクエストの14.23%
• Trojan.Encoder.25574 - リクエストの9.24%
• Trojan.Encoder.567 - リクエストの3.46%
• Trojan.Encoder.24249 - リクエストの3.45%
• Trojan.Encoder.10700 - リクエストの2.50%

危険なWebサイト

8月には、多くのインターネットユーザーが、サイバー犯罪者がパスワードを、またはログインとパスワードをユーザーと共有するメールを受け取りました。このパスワードは、以前にWebサイトでの登録に使用されていたものです。サイバー犯罪者は、ユーザーが訪れたアダルトサイトにウイルスが置かれていると通知し、ユーザーがそのWebサイトを訪問している間にカメラをオンにして録画したと告げます。ユーザーは、録画したその動画を連絡先リスト上の人物たちに送信されたくなければ身代金として数千米ドルに相当する額をビットコインで支払うよう要求されます。

もちろん、このメッセージは単なる脅しですが、サイバー犯罪者が1つまたは複数のインターネットリソースから登録ユーザーのデータベースを盗んで取得していたことは明らかです。Doctor Webでは、より頻繁にパスワードを変更し、異なるWebサイトで同じ登録認証情報を使用しないよう推奨しています。

2018年8月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は538,480件となっています。

モバイルデバイスを脅かす悪意のある、または望まないプログラム

8月、Doctor Webのセキュリティリサーチャーは、クリップボード上の e-wallet (イーウォレット)番号を置き換えるAndroid向けトロイの木馬 Android.Clipper.1.origin を検出しました。また、Google Play上で多くのトロイの木馬が検出され、その中にはバンキング型トロイの木馬 Android.Banker.2843 および Android.Banker.2855 がありました。これらトロイの木馬は、無害なアプリケーションを装って拡散されていました。そのほか、サイバー犯罪者は、ダウンローダ型トロイの木馬 Android.DownLoader.768.origin、 Android.DownLoader.772.origin、 Android.DownLoader.784.origin を使用してユーザーのモバイルデバイスを感染させようとしました。これらのトロイの木馬は、さまざまな悪意のあるソフトウェアをAndroidデバイス上にダウンロードします。8月には、Google Play上でトロイの木馬 Android.Click が多数検出されました。サイバー犯罪者は、不正に収益を得るためにそれらを使用していました。また別の詐欺トロイの木馬 Android.FakeApp.110 もまた、Google Playから拡散されていました。8月に検出された悪意のあるプログラムの中には、危険なスパイウェア Android.Spy.490.origin も含まれていました。サイバー犯罪者は、このスパイウェアをあらゆるアプリケーションに組み込み、オリジナルのアプリケーションを装って拡散することができます。

8月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• 感染したAndroidデバイスのクリップボード上の e-wallet 番号を置き換えるクリッパートロイの木馬を検出
• Google Play上で悪意のあるプログラムを多数検出
• バンキング型トロイの木馬の拡散
• 危険なスパイウェアを検出

モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらのレビューをご覧ください。

2018年9月6日

株式会社Doctor Web Pacific

2018年8月、Doctor Webのスペシャリストは、クリップボード上のe-wallet （イーウォレット）番号を置き換えるAndroid向けトロイの木馬を検出しました。また、Google Play上で多くのトロイの木馬が検出され、サイバー犯罪者は違法な収益を得るためのさまざまな詐欺手法にそれらを使用していました。8月には、Google Play上でAndroid向けのバンキング型トロイの木馬とダウンローダ型トロイの木馬も複数検出されています。最新のものは他の悪意のあるソフトウェアをモバイルデバイスにダウンロードします。そのほか、無害なプログラムに組み込まれ、オリジナルのアプリケーションを装って拡散されていた、スパイ行為を行う危険なトロイの木馬も検出されました。

8月のモバイル脅威

8月上旬、クリップボードを監視し、そこにコピーされた一般的な決済システムや仮想通貨のe-wallet番号を置き換えるトロイの木馬 Android.Clipper.1.origin が、Doctor Webのセキュリティリサーチャーによって検出されました。攻撃の対象となったのはQiwi、Webmoney、Yandex.Money、Bitcoin、Monero、zCash、DOGE、DASH、Etherium、Blackcoin、Litecoinのe-walletです。ユーザーが番号をクリップボードにコピーすると、トロイの木馬はそれらを傍受してC&Cサーバーに送信します。 Android.Clipper.1.origin は元の番号の代わりにクリップボードに追加するサイバー犯罪者のウォレット番号を受け取ります。その結果、感染したデバイスのユーザーはサイバー犯罪者のウォレット番号に送金してしまう危険性があります。この脅威に関する詳細については、こちらの記事をご覧ください。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドを実行し、犯罪者が感染したモバイルデバイスをコントロールすることを可能にするトロイの木馬です。

Android.HiddenAds

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Adware.Zeus.1

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Jiubang.2

Adware.Patacore.1.origin

Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。

Google Play上のトロイの木馬

8月には、Google Play上で多数のトロイの木馬が検出されました。 Doctor Webのセキュリティリサーチャーは、8月を通してトロイの木馬 Android.Click ファミリーのGoogle Playからの拡散状況について監視を行い、ブックメーカーの公式アプリケーションを装って拡散されていた127のアプリケーションを検出しました。

起動されると、これらトロイの木馬はC&Cサーバーによって指定されたWebサイトをユーザーに対して表示させます。 Android.Click が検出された時点で、これらすべてのトロイの木馬がブックメーカーのインターネットポータルを開くようになっていました。ただし、いずれは、別の悪意のあるソフトウェアを拡散するWebサイトやフィッシング攻撃に使用されるWebサイトなど、あらゆる他のWebサイトを開くよう指示するコマンドを受け取るようになる可能性もあります。

Android.Click.265.origin は8月にGoogle Play上で検出されたまた別のクリッカー型トロイの木馬です。このトロイの木馬は有料モバイルサービスにユーザーを登録させるために使用されており、『Eldorado』のオンラインストアで動作するよう設計された公式アプリケーションを装って拡散されていました。

8月には、4月にDoctor Webのセキュリティリサーチャーによって検出された Android.Click.248.origin が、再びGoogle Play上に出現しました。前回同様、 Android.Click.248.origin は良く知られたソフトウェアを装って拡散されていました。このトロイの木馬は、ユーザーに対して様々なプログラムをダウンロードするよう提案するか、または報酬を受け取るよう促すフィッシングサイトの1つを開きます。プログラムをダウンロード、または報酬を受け取るために、ユーザーは確認コードを受け取るための携帯電話番号を入力するよう求められます。コードを入力してしまったユーザーは有料サービスに登録されるようになっています。感染したデバイスがモバイル通信でインターネットに接続されている場合、ユーザーは自動的に有料サービスに登録されます。

この脅威に関する詳細については、こちらの記事をご覧ください。

8月末、Doctor Webのセキュリティリサーチャーは、Google Play上でトロイの木馬 Android.FakeApp.110 を検出しました。サイバー犯罪者は違法な利益を得るためにこのトロイの木馬を使用していました。この悪意のあるプログラムは、ユーザーに対して調査に参加するよう促す詐欺サイトを開きます。質問に回答した後、ユーザーは本人を特定するための証明として100～200ルーブルの支払いを要求されます。しかしながら、支払いを行ったユーザーが報酬を受け取ることはありません。

8月にGoogle play上で検出された悪意のあるプログラムの中に、新たなバンキング型トロイの木馬があります。 Android.Banker.2843 と名付けられたそのうちの1つは、トルコの金融機関の公式アプリケーションを装って拡散されていました。 Android.Banker.2843 は、ユーザーの銀行口座にアクセスするためのログインとパスワードを盗み、サイバー犯罪者に送信します。

Android.Banker.2855 としてDr.Webのウイルスデータベースに追加されたまた別のバンキング型トロイの木馬は、異なるサービスツールとして拡散されていました。この悪意のあるプログラムは、そのファイルリソースからトロイの木馬 Android.Banker.279.origin を抽出して起動させます。このトロイの木馬が銀行のユーザー認証情報を盗みます。

Android.Banker.2855 の一部の亜種は、起動後にメイン画面から自身のショートカットを削除した後で偽のエラーメッセージを表示させ、モバイルデバイス上での存在を隠そうとします。

Android.BankBot.325.origin と名付けられたまた別のAndroid向けバンキング型トロイの木馬は、 Android.DownLoader.772.origin によって感染したデバイス上にダウンロードされていました。このダウンローダは、バッテリーオプティマイザなどの便利なアプリケーションを装ってGoogle Playから拡散されていました。

また、 Android.DownLoader.768.origin もGoogle Play上で検出されています。このダウンローダは、シェル社のアプリケーションを装って拡散されていました。 Android.DownLoader.768.origin は、さまざまなバンキング型トロイの木馬をモバイルデバイスにダウンロードします。

8月には、ダウンローダ型トロイの木馬 Android.DownLoader.784.origin もGoogle Play上で検出され、Dr.Webウイルスデータベースに追加されました。このトロイの木馬は『Zee Player』というアプリケーションに埋め込まれていました。このアプリケーションは、トロイの木馬がモバイルデバイスのメモリ内に保存されている写真や動画を非表示にすることを可能にします。

Android.DownLoader.784.origin は、サイバースパイ行為に使用することのできるAndroid.Spy.409.originをダウンロードします。

Android向けスパイウェア

8月、サイバースパイ用に設計された Android.Spy.490.origin がDr.Webのウイルスデータベースに追加されました。サイバー犯罪者は、このトロイの木馬を無害なアプリケーションに組み込み、それらの改変されたコピーをオリジナルのソフトウェアを装ってユーザーに気付かれることなく配信することができます。 Android.Spy.490.origin は、感染したデバイスのSMS通信と位置を監視し、通話を傍受・録音し、通話の内容に関する情報に加えデバイスのユーザーが撮影した写真や動画をリモートサーバーに送信することができます。

Google Playは最も安全なAndroidアプリの提供元です。しかしながら、サイバー犯罪者は依然としてGoogle Playから様々な有害なプログラムを拡散し続けています。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品を使用することをお勧めします。

2018年9月3日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストは、違法に収益を得るために使用されている数十の悪意のあるアプリケーションをGoogle Play上で検出しました。これらのプログラムは便利なソフトウェアや人気のソフトウェアを装って提供され、様々な詐欺手法に使用されています。また、その内の多くは他のトロイの木馬を拡散するために使用される可能性があります。

検出されたプログラムの1つである Android.Click.265.origin は、有料のモバイルサービスにユーザーを登録させるために使用されています。これは、長年にわたりサイバー犯罪者によって使用されてきた、良く知られた種類のネットワーク詐欺手法です。 Android.Click.265.origin は取引ネットワーク 『Eldorado』 のオンラインストアで使用する公式アプリケーションを装っています。Doctor Webのセキュリティリサーチャーは、トロイの木馬によるGoogle Playへの侵入の試みを2件検出しました。本記事掲載時点で、2種類の亜種がGoogle Playから削除されています。

Android.Click.265.origin は実際に謳われている機能を実行します。すなわち、 『Eldorado』 オンラインストアのモバイル版をウィンドウで開き、をれを通常通りに動作させます。しかしその一方で、 Android.Click.265.origin は好ましくない動作も実行します。このトロイの木馬は迷惑な広告を表示させ、また、有料のモバイルサービスのページを開き、該当するボタンを自動でクリックしてユーザーを登録させます。その後、ユーザーのモバイルアカウントから一定の金額が毎日引き落とされます。

Android.Click.248.origin は、Androidスマートフォンやタブレットのユーザーを有料サービスに登録させる詐欺手法に使用されていたまた別のトロイの木馬です。この悪意のあるプログラムは今年の4月よりDoctor Webのセキュリティリサーチャーに知られているもので、8月には再びGoogle Playから拡散されました。前回同様、 Android.Click.248.origin は 『Yula』 オンライン掲示板や AliExpress オンラインストア、 Yandex社の音声アシスタント 『Alisa』 のクライアントアプリケーションなど、良く知られたソフトウェアを装っていました。

このトロイの木馬は、ユーザーに対して良く知られたプログラムをダウンロードするよう提案するか、または報酬を受け取るよう促すフィッシングサイトの1つを開きます。そこでユーザーは携帯電話番号を入力するよう求められます。確認コードを受け取るためという名目ですが、実際には、このコードは有料サービスへの登録を確定するために使用されます。感染したデバイスがモバイル通信でインターネットに接続されている場合、このWebサイトに電話番号を入力した後、Androidデバイスのユーザーは自動的に有料サービスに登録されます。以下の画像は Android.Click.248.origin によって開かれる詐欺サイトの例です。

Google Playから拡散されていた8月に検出された悪意のあるプログラムの中には、そのほかにも Android.Click ファミリーの多くの亜種が含まれていました。Doctor Webのセキュリティスペシャリストによって分析されたこのファミリーの亜種は 『Olimp』、 『Fonbet』、 『The League of bets』、 『1xBet』、 『Winline』などの複数のブックメーカー（賭けサイト）の公式プログラムを装って拡散されていました。合計で44の開発者によって配信されていた127の悪意のあるプログラムがDoctor Webのセキュリティリサーチャーによって検出されています。Google社はこれらのアプリケーションを即座にGoogle Playから削除していますが、サイバー犯罪者たちは毎日のようにそれらを新たに追加し続けています。

起動すると、これらのトロイの木馬はC&Cサーバーに接続し、ユーザーに対して表示させるWebサイトをダウンロードするためのコマンドを受け取ります。現時点では、ブックメーカーの公式ページを開くようになっており、また、トロイの木馬のアプリケーション名は開かれるWebサイトとはまったく関係がありません。しかしながら、C&Cサーバーは、他の悪意のあるプログラムがAndroidデバイス上にダウンロードされる可能性のある不正なまたは有害なオンラインポータルを含む、他のあらゆる任意のWebリソースを開くよう指示するコマンドをトロイの木馬に与えることもできます。このことから、これらトロイの木馬は非常に危険であると言えます。

8月に検出されたまた別の詐欺トロイの木馬は、『Opros』（Survey：調査）と呼ばれるアプリケーション内に潜んでいました。 Android.FakeApp.110としてウイルスデータベースに追加されたこのトロイの木馬の作成者は、数分で終わる一般的な調査に参加することで報酬を受け取ることができると謳っていました。

起動されると、 Android.FakeApp.110は詐欺サイトをダウンロードします。ユーザーはそこで、いくつかの簡単な質問（例えば、好きな香水や乗っている車のブランドなど）に答えることで、スポンサーから多額の報酬を貰えるということになっています。

このような質問に回答した後、ユーザーは数万または数十万ルーブルもの報酬が支払われると告げられます。同時にユーザーは、決済システムの限度があるために支払いの一部は特定の期間に行われると告げられ、今すぐ受け取るにはユーザーを特定するためのIDとして100～200ルーブルを支払うよう指示されます。こうして詐欺行為が成立します。報酬を受け取ることを期待してユーザーは自らインターネット詐欺師にお金を払いますが、その後何も受け取ることはありません。Doctor Webはこの悪意のあるアプリケーションについてGoogle社に報告を行い、現在このアプリケーションはダウンロードすることができなくなっています。

モバイルデバイスのユーザーから金銭を引き出し、また、その他の利益を得るために、犯罪者は様々な策略を用い、常に新たな詐欺手法を編み出し続けています。アプリケーションをインストールする際は、たとえGoogle Playからであっても、慎重になるよう心がけてください。開発者の名前、プログラムの公開日のほか、他のユーザーのレビューに注意を払う必要があります。これらの簡単な対策でモバイルデバイスが感染するリスクを減らすことができます。さらに、Androidデバイスを保護するため、既知の悪意のあるアプリケーションや望まないアプリケーションすべてを検出・削除するAndroid向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。

Android.Click.265.originの詳細(英語)

Android.Click.248.originの詳細(英語)

Android.FakeApp.110の詳細(英語)

#Android #fraud #Google_Play #Trojan

2018年8月10日

株式会社Doctor Web Pacific

電子マネーや仮想通貨に関する操作中にクリップボードのウォレット番号を置き換えるMicrosoft Windows向けトロイの木馬は、コンピューターユーザーならびに情報セキュリティスペシャリストの両方に広く知られています。2018年8月、Doctor Webのウイルスアナリストは同様の機能を持った、Androidモバイルプラットフォーム向けの複数の悪意のあるプログラムについて調査を行いました。

送金先を元々の受け取り手からサイバー犯罪者へと変えるためにクリップボードのデジタルウォレット番号を置き換えることができるトロイの木馬は、一般的に「クリッパー」と呼ばれています。従来、このような悪意のあるプログラムはWindowsユーザーのみを対象としていました。同様の機能を持つAndroid向けのトロイの木馬は、ほとんど見られません。しかしながら、2018年8月、Androidユーザーに危害を加えるクリッパートロイの木馬 Android.Clipper の2つの亜種がDr.Webウイルスデータベースに追加され、 Android.Clipper.1.origin および Android.Clipper.2.origin と名付けられました。

Android.Clipper は、仮想通貨Bitcoin、 Monero、 zCash、 DOGE、 DASH、 Etherium、 Blackcoin、 Litecoinに加え、 QIWI、 WebMoney (R and Z)、 Yandex.Money 決済システムのデジタルウォレット番号を置き換えることができます。調査の対象となった Android.Clipper の亜種の1つは、Bitcoinデジタルウォレットのアプリケーションを装っていました。

感染したデバイス上で起動すると、トロイの木馬は偽のエラーメッセージを表示させ、ステルスモードで動作し続けます。このトロイの木馬は、Androidのホーム画面のアプリケーションリストから自身のアイコンを隠し、その後はシステム設定のアプリケーション管理セクションにのみ表示されます。 Android.Clipper のいずれの亜種も、感染したスマートフォンやタブレットの電源が入るたびに自動的に起動するようになります。

感染に成功すると、 Android.Clipper はクリップボードの内容の変更を追跡し始め、 ユーザーがデジタルウォレット番号をクリップボードにコピーすると、その番号をC&Cサーバーに送信します。続けて、別のサーバーに対してリクエストを送信し、元の番号の代わりにクリップボードに追加するサイバー犯罪者のウォレット番号を待ちます。

Android.Clipper の作成者は、ハッキングフォーラムでこのトロイの木馬ファミリーを積極的に販売しています。サイバー犯罪者のクライアントは、購入した悪意のあるプログラムのコピーごとに任意のアプリケーションアイコンと名前を使用することができます。今後、これらのトロイの木馬の亜種が無害で便利なソフトウェアを装って大量に拡散されるものと予想されます。

ウイルス作成者はその広告の中で、マルウェアの機能には、プログラム動作に関するレポートをTelegramアプリに送信する、FTPプロトコルを使用してクリップボードに埋め込まれたウォレット番号をすばやく変更するといったものが含まれていると主張しています。しかしながら、これらの機能はトロイの木馬自体には実装されておらず、C&Cサーバーによってサイバー犯罪者に提供されます。

Android向けのDr.Web製品はトロイの木馬 Android.Clipper ファミリーに属するすべての既知の亜種を検出・削除しています。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Android.Clipper.1.originの詳細(英語)

Android.Clipper.2.originの詳細(英語)

#Android #bitcoin #cryptocurrencies