2018年10月19日

株式会社Doctor Web Pacific

Doctor Webのアナリストは、仮想通貨を狙ったサイバー犯罪者の活動について調査を行いました。 Investimerとして知られる攻撃者は違法な収益を得るために幅広い種類のマルウェアや多岐にわたる手法を使用しています。

Investimer、HyipblockあるいはMmpowerと呼ばれているオンラインスキャマーは、現在アンダーグラウンドマーケットで広く流通しているスティーラーであるEredel、 AZORult、 Kpot、 Kratos、 N0F1L3、 ACRUX、 Predator The Thief、 Arkei、 Ponyなどの幅広い種類の商用トロイの木馬を使用しています。また、 TeamViewerを利用した Spy-Agent バックドア、 VNCプロトコル経由でコンピューターにアクセスする DarkVNC および HVNC バックドア、 RMSベースのバックドアも使用しているほか、 Smoke Loaderを広く利用し、以前はクリップボードの内容を変更するクリッパーを備えたマイニング型トロイの木馬と Loader by Danij を使用していました。 Investimerは管理サーバーをjino.ru、 marosnet.ru、 hostlife.netなどのWebサイトに設置しています。それらの多くは Cloudflare によって保護され、実際のIPアドレスは隠されています。

Investimerの主な目的は仮想通貨詐欺です。特にDogecoin(ドージコイン)に焦点を当て、実際のオンラインリソースを置き換えるフィッシングサイトを多数作成しています。それらの中には偽の仮想通貨取引所があり、そこでは特別なクライアントソフトウェアが必要であるとされていますが、実際にはこのソフトウェアこそが被害者のコンピューターにダウンロードされる Spy-Agent トロイの木馬です。

Investimerのまた別の「startup」は、 Dogecoinの存在しないマイニングプールの低価格でのレンタルです。プールを使用するために、被害者はパスワード保護されたアーカイブに含まれたクライアントアプリケーションをダウンロードします。このパスワードが、アンチウイルスがアーカイブをスキャンし、ダウンロード時点で削除することを防ぎます。もちろん、アーカイブに含まれているのはクライアントアプリケーションではなくスティーラー型トロイの木馬です。

Investimerのさらに別の詐欺プロジェクトには仮想通貨Etheriumを狙ったものがあります。 Investimerは、特別なアプリを装った悪意のあるプログラムをインストールすればWebサイトを見ることができると被害者を騙します。Webサイトを訪問するとトロイの木馬が自動的にダウンロードされます。このスキャマーは、サービスに関する偽のレビューまで書いています。

また、 Investimerによるその他のオンライン詐欺に、 Dogecoinで賞金をもらえるオンライン宝くじがあります。もちろん、参加者が宝くじに当たることはなく、主催者のみが収益を得ることができるようになっています。それにもかかわらず、本記事掲載時点で5,800人を超えるユーザーが Investimer のサイトが実施する宝くじに参加しています。

オンライン宝くじとは別に、 Investimerは広告を含んだWebページを見ることでDogecoinでの報酬を受け取ることができるというプロジェクトも実施しており、このプロジェクトには11,000人を超えるユーザーが登録しています。

被害者がインターネットサーフィンで収益を得るためのブラウザプラグインをダウンロードしようとすると、そのプラグインを装ったバックドアが「パートナー」サイトからユーザーのコンピューターにダウンロードされます。次に、このバックドアが感染したデバイスにスティーラー型トロイの木馬をインストールします。

Investimerは従来のフィッシングも使用しています。 Etherium決済システムを新しいユーザーに紹介することで報酬を提供するというサイトを作成し、登録時にユーザーが入力した情報が犯罪者に送信されるようにしています。

そのほか、 Investimerは公式の cryptobrowser.site をコピーしようと試みています。オリジナルサイトのプロジェクトクリエイターはユーザーがWebページを閲覧している間に仮想通貨マイナーをバックグランドで実行する新しいWebブラウザを開発しています。 Investimerによって作成された偽サイトの品質はあまり高くありません。一部の画像が表示されず、使用許諾契約には本物の開発者のメールアドレスが記載され、ブラウザを装ったトロイの木馬は別のドメインからダウンロードされます。以下の画像は Investimer による偽のサイト(左)と本物のサイト(右)です。

Investimerは、ファイナンシャル・ピラミッド原則に基づくオンラインゲームなど、他のオンライン詐欺にも関わっていると言われています。Investimerは仮想通貨を盗む目的でスティーラー型トロイの木馬によって収集された情報を使用し、様々な電子決済システムのウォレットから金銭を盗みます。ハッキングしたコンピューターにアクセスするためのInvestimerのコントロールパネルには、それぞれの被害者に関する卑猥なコメントが含まれていますが、検閲に引っかかってしまうため掲載することはできません。

概していえば、このサイバー犯罪者がインターネットユーザーを欺くために使用する方法は次のとおりです。被害者は様々な方法で偽のサイトに誘導され、そこでクライアントプログラムをダウンロードするよう要求されます。ここで実際にダウンロードされるのはクライアントではなく、犯罪者のコマンドに従って別のマルウェアをコンピューターにインストールするトロイの木馬です。それらのプログラム(主にスティーラー型トロイの木馬)は感染したデバイスから機密データを盗み、スキャマーは後にそれを使用して仮想通貨を盗んだり、決済システムを通じて被害者の口座から金銭を盗んだりします。

Doctor Webのアナリストは、Investimerの違法行為による被害を受けたユーザーの数は合計で10,000人を超えるとしています。また、被害額は23,000ドルを超え、さらに現在のレートで900ドルに相当する182,000 Dogecoin以上が加わっています。

Investimerによって作成されたすべてのWebサイトのアドレスはDr.Web SpIDer Gateのデータベースに追加され、スキャマーが使用するすべてのマルウェアは、Dr.Webのアンチウイルスによって検出・削除されています。

IOC(Indicators of Compromise)のリストは、こちらから確認できます。

#criminal #cryptocurrencies #mining #fraud

2018年10月9日

株式会社Doctor Web Pacific

2018年9月には、ブラジルの金融機関の利用者を脅かすバンキング型トロイの木馬が拡散されました。この悪意のあるソフトウェアの300を超えるサンプルと、バンキング型トロイの木馬がそこからコンポーネントをダウンロードしていた120を超えるオンラインメディアサイトがDoctor Webのスペシャリストによって発見されています。また、危険なAndroidアプリケーションも新たに検出されています。

9月の脅威

金融機関の利用者から金銭を盗むよう設計されたバンキング型トロイの木馬は世界中で広く拡散されています。9月、Doctor Webのセキュリティリサーチャーによって新たなバンキング型トロイの木馬が発見され、 Trojan.PWS.Banker1.28321 と名付けられました。このバンキング型トロイの木馬はブラジルの住民を標的としています。これまでに、 Trojan.PWS.Banker1.28321 の340を超えるサンプルと、129のドメインとIPアドレスが検出されています。これらのドメインとIPアドレスはサイバー犯罪者が所有するもので、トロイの木馬はそれらを使用して悪意のあるライブラリを含んだアーカイブをダウンロードしていました。

このトロイの木馬はPDF文書を表示させるAdobe Readerを装って拡散され、システム言語がポルトガル語になっているWindows搭載コンピューターを感染させます。 Trojan.PWS.Banker1.28321 の悪意のある機能はすべて、暗号化されて圧縮された動的ライブラリ含まれており、トロイの木馬はこのライブラリをサイバー犯罪者のWebサイトからダウンロードします。

ユーザーがブラジルの様々な金融機関のインターネットバンキングサイトをブラウザのウィンドウで開くと、 Trojan.PWS.Banker1.28321 は密かにWebページを置き換え、偽の認証フォームを表示させます。銀行から受け取ったSMSメッセージに含まれる認証コードを入力するよう要求する場合もあります。入力された情報はサイバー犯罪者に送信されます。この脅威に関する詳細については、こちらの記事をご覧ください。

Doctor Web統計サーバーによる統計

JS.BtcMine.7

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.Encoder.567

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬ファミリーに属する悪意のあるプログラムです。

Trojan.SpyBot.699

感染したデバイスのキーボードをクリックジャックし、コマンドを実行して機密情報を盗むよう設計されたスパイウェアです。

Trojan.PWS.Stealer.1932

ユーザーパスワードなどの機密情報を盗む、Windows向けトロイの木馬です。

メールトラフィック内で検出された脅威の統計

Trojan.Encoder.567

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬ファミリーに属する悪意のあるプログラムです。

JS.BtcMine.7

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.PWS.Stealer

感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。

W97M.DownLoader

オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬です。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。

暗号化ランサムウェア

2018年9月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました。

• Trojan.Encoder.567—リクエストの16.94%
• Trojan.Encoder.858—リクエストの12.71%
• Trojan.Encoder.11464—リクエストの10.68%
• Trojan.Encoder.25574—リクエストの4.79%
• Trojan.Encoder.24249—リクエストの4.42%
• Trojan.Encoder.11539—リクエストの1.84%

危険なWebサイト

2018年9月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は271,605件となっています。

モバイルデバイスを脅かす悪意のある、または望まないプログラム

9月、 Android.Click ファミリーに属するトロイの木馬が再びGoogle Play上で発見されました。その多くはブックメーカーの公式プログラムを装って拡散されていました。これらのトロイの木馬はサイバー犯罪者のコマンドに従ってブックメーカーのWebサイトを開くようになっていますが、いずれは詐欺サイトを含む様々なサイトをダウンロードするようになる可能性があります。そのほか、 Android.Click.265.origin が再びGoogle Play上に侵入を果たしています。このトロイの木馬は良く知られた企業の公式ソフトウェアを装って拡散され、有料サービスサイトをダウンロードして自動的に確定ボタンをクリックすることでユーザーを高額なサービスに登録させます。

9月には悪意のあるプログラム Android.Banker.2855、 Android.Banker.2856、 Android.Banker.283.originもGoogle Play上で検出されています。これらは一見無害なプログラムに潜んでいました。

また、サイバースパイ行為を行うよう設計された危険なトロイの木馬 Android.Spy.460.origin も拡散されました。そのほか、商用スパイウェアプログラムの新たなバージョン Program.SpyToMobile.1.origin、 Program.Spy.11、 Program.GpsSpy.9、 Program.StealthGuru.1、 Program.QQPlus.4、 Program.DroidWatcher.1.origin、 Program.NeoSpy.1.origin、 Program.MSpy.7.origin、 Program.Spymaster.2.originなどが検出されています。これらのアプリケーションはSMSのやり取りや通話履歴を監視し、デバイスの位置を検出し、連絡先リストをリモートサーバーにコピーし、Webブラウザの履歴とその他のユーザーの個人情報を盗むことができます。

9月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• Google Play上で悪意のあるアプリケーションを検出
• スパイウェアの拡散
• Androidデバイスユーザーをスパイするよう設計された新たな商用プログラムを検出

モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらのレビューをご覧ください。

2018年10月5日

株式会社Doctor Web Pacific

2018年9月、Doctor WebのウイルスアナリストはGoogle Play上で多数のトロイの木馬を発見しました。また、様々なバンキング型トロイの木馬がモバイルデバイスのユーザーを脅かし、サイバースパイ行為を行うよう設計された危険なトロイの木馬が拡散されました。そのほか、既知の商用スパイウェアプログラムの新たなバージョンが検出され、Dr.Webのウイルスデータベースに追加されています。

9月のモバイル脅威

2018年9月、危険なスパイウェア型トロイの木馬 Android.Spy.460.origin がAndroidモバイルデバイスのユーザーを脅かしました。このトロイの木馬がDoctor Webのウイルスアナリストによって最初に発見されたのは2018年6月のことです。このマルウェアはシステムアプリケーションを装って、「Google Carrier Service」などの名前で詐欺サイトから拡散されています。

Android.Spy.460.origin は、感染したスマートフォンやタブレットのSMSのやり取りと位置を追跡し、通話を盗聴し、デバイスの内蔵マイクを使用して周囲の音声を録音し、 連絡先とカレンダーからデータを盗み、Webブラウザの履歴とブックマークをサイバー犯罪者に送信します。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

Android.Backdoor.1572

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.HiddenAds

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.Mobifun.4

別のマルウェアアプリケーションをダウンロードするトロイの木馬です。

Adware.Zeus.1

Adware.Gexin.2.origin

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Aesads.1.origin

Androidアプリケーションに組み込まれ、モバイルデバイス上に迷惑な広告を表示するように設計された不要なプログラムモジュールです。

Google Play上の脅威

9月にはGoogle Play上で多くの悪意のあるプログラムが確認され、 Android.Click ファミリーに属するトロイの木馬が再びDoctor Webのスペシャリストによって発見されました。これらトロイの木馬は公式のブックメーカーアプリを装って拡散されていました。すでに知られているトロイの木馬(9月3日の記事参照)のほかに17の新たな亜種がウイルスアナリストによって検出され、合計で62,000人以上のユーザーがこの悪意のあるアプリケーションをインストールしています。

起動されると、これらトロイの木馬はC&Cサーバーからのコマンドで指定されたブックメーカーのWebサイトをユーザーに対して表示させます。ただし、いずれは、ブックメーカー以外の危険なWebサイトを開くよう指示するコマンドを受け取るようになる可能性もあります。

また別のクリッカー型トロイの木馬 Android.Click.265.origin もGoogle Play上に侵入を果たしています(こちらの記事を参照)。このトロイの木馬は有料コンテンツのWebサイトを開き、ユーザーを高額なサービスに登録させます。その際、 Android.Click.265.origin は表示されたウィンドウ内で自動的に確定ボタンをクリックし、有料サービスにアクセスします。9月には、このマルウェアが Sitilink (Eコマース)や O'STIN (衣料品店)などの良く知られたロシア企業のアプリを装って拡散されていました。

そのほか、Android.Click.265.origin と同様の機能を持った Android.Click.223.origin がロシアの衣料品店 Gloria Jeans と TVOE の無害なプログラムを装って拡散されました。

9月には、Google Play上でバンキング型トロイの木馬が再び検出されました。そのうちの2つ、 Android.Banker.2855 と Android.Banker.2856 はサーバーユーティリティや星占いとして拡散されていました。これらの悪意のあるプログラムは、金融機関利用者の口座のログイン認証情報を盗む隠されたバンカーを抽出して起動させます。

Google Play上に侵入を果たしたもう1つのバンキング型トロイの木馬に Android.Banker.283.origin があります。このトロイの木馬はトルコの金融機関の公式アプリとして拡散されていました。

スパイウェア

9月には、商用スパイウェアプログラムの新たなバージョン Program.SpyToMobile.1.origin、 Program.Spy.11、 Program.GpsSpy.9、 Program.StealthGuru.1、 Program.QQPlus.4、 Program.DroidWatcher.1.origin、 Program.NeoSpy.1.origin、 Program.MSpy.7.origin、 Program.Spymaster.2.originなどが検出されました。これらのアプリケーションはAndroidモバイルデバイスのユーザーをスパイするよう設計されており、サイバー犯罪者がSMSのやり取りを横取りし、通話やスマートフォンとタブレットの位置を追跡し、Webブラウザの履歴とブックマークにアクセスし、機密情報を盗むことを可能にします。

サイバー犯罪者はAndroidスマートフォンやタブレットを感染させる新しいトロイの木馬やリスクウェアを次々と作成し、それらアプリケーションの多くがGoogle Play上から拡散され続けています。Androidモバイルデバイスを保護するため、Android向けのDr.Webアンチウイルス製品を使用することをお勧めします。

2018年9月28日

株式会社Doctor Web Pacific

最新のバンキング型トロイの木馬は、ハイテクからユーザーの不注意やだまされやすさを利用したものまで、被害者の銀行口座から金銭を盗むために様々な方法を用いています。本記事では、Doctor Webのエキスパートによって発見された、ブラジルのリモートバンキングシステムのユーザーを脅かすバンカーについて紹介します。これまでに、このバンカーの300を超えるサンプルと、それらによって使用される120台のサーバー、そして拡散されている国が特定されています。

Trojan.PWS.Banker1.28321 という名前でDr.Webのウイルスデータベースに追加されたこのトロイの木馬は、PDF文書を表示させるAdobe Readerを装って拡散されています。起動されると、 Trojan.PWS.Banker1.28321 はAdobe Readerの名前がついたウィンドウを表示させます。

このトロイの木馬は、それが仮想環境で実行されているかどうかを確認し、仮想マシンが検出された場合は動作を終了します。また、Windowsの言語設定を監視し、システム言語がポルトガル語ではなかった場合、いかなる動作も実行しません。

トロイの木馬自体は.NETで書かれていますが、ローダーモジュールはVBscriptスクリプトとして実装されています。このローダーモジュールは標準的な MSScriptControl.ScriptControl COMオブジェクトによって起動され、管理サーバーに接続してそこから2つのZIPアーカイブをダウンロードします。その1つにはDelphi開発環境を使用して作成された、難読化された動的ライブラリが含まれています。そして、このライブラリに悪意のあるプログラムの主な機能が含まれています。

ユーザーがブラジルの様々な金融機関のインターネットバンキングサイトをブラウザのウィンドウで開くと、 Trojan.PWS.Banker1.28321 は密かにWebページを置き換え、偽の認証フォームを表示させます。銀行から受け取ったSMSメッセージに含まれる認証コードを入力するよう要求する場合もあります。入力された情報はサイバー犯罪者に送信されます。

ユーザーが訪問したインターネットバンキングサイトの内容を置き換えるこのような手法は多くのバンキング型トロイの木馬によって使用されています。多くの場合、それらトロイの木馬はブラジルのみでなく世界中の金融機関の利用者を脅かしています。過去1カ月の間に、Doctor Webのスペシャリストは340を超える Trojan.PWS.Banker1.28321 の亜種を特定し、トロイの木馬が悪意のあるライブラリをダウンロードしていたサイバー犯罪者のインターネットリソースの129のドメインとIPアドレスを発見しました。このことは、バンキング型トロイの木馬が広く拡散されていることを示しています。Dr.Web のウイルスデータベースには Trojan.PWS.Banker1.28321 のすべての既知の亜種に関する情報が追加され、それらトロイの木馬によって使用されるサーバーのアドレスもSpIDer GateのWebアンチウイルスデータベースに追加されています。したがって、Dr.Web のユーザーに危害が及ぶことはありません。

Trojan.PWS.Banker1.28321の詳細(英語)

#banker #banking_Trojan #online-banking #Trojan

2018年9月7日

株式会社Doctor Web Pacific

8月、Doctor Webのセキュリティリサーチャーは、仮想通貨を密かにマイニングするように設計されたマイナートロイの木馬の拡散を検出しました。これらのプログラムはWindows搭載デバイスとLinux搭載デバイス向けに設計されていました。また、8月には新たなAndroid向けトロイの木馬がDr.Webのウイルスデータベースに追加されています。

8月の脅威

6月を境に、サイバー犯罪者は Linux.BtcMine.82 という名前でウイルスデータベースに追加された悪意のあるプログラムを使用するようになりました。Goで書かれたこのトロイの木馬は、パックされたマイナーを本体に含んだドロッパーです。ドロッパーはマイナーをディスクに保存して起動します。次に、マイナーが仮想通貨 Monero(XMR) のマイニングを開始します。Doctor Webのセキュリティーリサーチャーは、サイバー犯罪者のサーバー上でWindows向けに設計された他のマイナーもいくつか検出しています。

検出された悪意のあるプログラムはすべてDr.Webのウイルスデータベースに追加されています。この脅威に関する詳細については、こちらの記事をご覧ください。

Doctor Web統計サーバーによる統計

JS.BtcMine.7

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.Encoder.11432

WannaCryとして知られる暗号化ワームです。

Trojan.BtcMine

感染させたコンピューターのリソースを密かに使用し、Bitcoinなどの暗号通貨を生成するよう設計されたトロイの木馬のファミリーです。

Win32.HLLW.Shadow

リムーバブルメディアやネットワークドライブ経由で自身を複製するワームです。また、標準的なSMBプロトコルを使用してネットワーク経由で拡散されます。C&Cサーバーから実行ファイルをダウンロードし、実行するよう設計されています。

メールトラフィック内で検出された脅威の統計

Trojan.PWS.Stealer

感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。

Trojan.Encoder.567, Trojan.Encoder.25843

ファイルを暗号化し、復元するために身代金を要求するエンコーダです。

JS.BtcMine

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.Inject

他のプログラムのプロセス内に悪意のあるコードを挿入する、悪意のあるプログラムのファミリーです。.

暗号化ランサムウェア

2018年8月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした：

• Trojan.Encoder.858 - リクエストの20.00%
• Trojan.Encoder.11464 - リクエストの14.23%
• Trojan.Encoder.25574 - リクエストの9.24%
• Trojan.Encoder.567 - リクエストの3.46%
• Trojan.Encoder.24249 - リクエストの3.45%
• Trojan.Encoder.10700 - リクエストの2.50%

危険なWebサイト

8月には、多くのインターネットユーザーが、サイバー犯罪者がパスワードを、またはログインとパスワードをユーザーと共有するメールを受け取りました。このパスワードは、以前にWebサイトでの登録に使用されていたものです。サイバー犯罪者は、ユーザーが訪れたアダルトサイトにウイルスが置かれていると通知し、ユーザーがそのWebサイトを訪問している間にカメラをオンにして録画したと告げます。ユーザーは、録画したその動画を連絡先リスト上の人物たちに送信されたくなければ身代金として数千米ドルに相当する額をビットコインで支払うよう要求されます。

もちろん、このメッセージは単なる脅しですが、サイバー犯罪者が1つまたは複数のインターネットリソースから登録ユーザーのデータベースを盗んで取得していたことは明らかです。Doctor Webでは、より頻繁にパスワードを変更し、異なるWebサイトで同じ登録認証情報を使用しないよう推奨しています。

2018年8月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は538,480件となっています。

モバイルデバイスを脅かす悪意のある、または望まないプログラム

8月、Doctor Webのセキュリティリサーチャーは、クリップボード上の e-wallet (イーウォレット)番号を置き換えるAndroid向けトロイの木馬 Android.Clipper.1.origin を検出しました。また、Google Play上で多くのトロイの木馬が検出され、その中にはバンキング型トロイの木馬 Android.Banker.2843 および Android.Banker.2855 がありました。これらトロイの木馬は、無害なアプリケーションを装って拡散されていました。そのほか、サイバー犯罪者は、ダウンローダ型トロイの木馬 Android.DownLoader.768.origin、 Android.DownLoader.772.origin、 Android.DownLoader.784.origin を使用してユーザーのモバイルデバイスを感染させようとしました。これらのトロイの木馬は、さまざまな悪意のあるソフトウェアをAndroidデバイス上にダウンロードします。8月には、Google Play上でトロイの木馬 Android.Click が多数検出されました。サイバー犯罪者は、不正に収益を得るためにそれらを使用していました。また別の詐欺トロイの木馬 Android.FakeApp.110 もまた、Google Playから拡散されていました。8月に検出された悪意のあるプログラムの中には、危険なスパイウェア Android.Spy.490.origin も含まれていました。サイバー犯罪者は、このスパイウェアをあらゆるアプリケーションに組み込み、オリジナルのアプリケーションを装って拡散することができます。

8月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• 感染したAndroidデバイスのクリップボード上の e-wallet 番号を置き換えるクリッパートロイの木馬を検出
• Google Play上で悪意のあるプログラムを多数検出
• バンキング型トロイの木馬の拡散
• 危険なスパイウェアを検出

モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらのレビューをご覧ください。

2018年9月6日

株式会社Doctor Web Pacific

2018年8月、Doctor Webのスペシャリストは、クリップボード上のe-wallet （イーウォレット）番号を置き換えるAndroid向けトロイの木馬を検出しました。また、Google Play上で多くのトロイの木馬が検出され、サイバー犯罪者は違法な収益を得るためのさまざまな詐欺手法にそれらを使用していました。8月には、Google Play上でAndroid向けのバンキング型トロイの木馬とダウンローダ型トロイの木馬も複数検出されています。最新のものは他の悪意のあるソフトウェアをモバイルデバイスにダウンロードします。そのほか、無害なプログラムに組み込まれ、オリジナルのアプリケーションを装って拡散されていた、スパイ行為を行う危険なトロイの木馬も検出されました。

8月のモバイル脅威

8月上旬、クリップボードを監視し、そこにコピーされた一般的な決済システムや仮想通貨のe-wallet番号を置き換えるトロイの木馬 Android.Clipper.1.origin が、Doctor Webのセキュリティリサーチャーによって検出されました。攻撃の対象となったのはQiwi、Webmoney、Yandex.Money、Bitcoin、Monero、zCash、DOGE、DASH、Etherium、Blackcoin、Litecoinのe-walletです。ユーザーが番号をクリップボードにコピーすると、トロイの木馬はそれらを傍受してC&Cサーバーに送信します。 Android.Clipper.1.origin は元の番号の代わりにクリップボードに追加するサイバー犯罪者のウォレット番号を受け取ります。その結果、感染したデバイスのユーザーはサイバー犯罪者のウォレット番号に送金してしまう危険性があります。この脅威に関する詳細については、こちらの記事をご覧ください。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドを実行し、犯罪者が感染したモバイルデバイスをコントロールすることを可能にするトロイの木馬です。

Android.HiddenAds

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Adware.Zeus.1

Adware.Adpush.2514

Adware.SalmonAds.3.origin

Adware.Jiubang.2

Adware.Patacore.1.origin

Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。

Google Play上のトロイの木馬

8月には、Google Play上で多数のトロイの木馬が検出されました。 Doctor Webのセキュリティリサーチャーは、8月を通してトロイの木馬 Android.Click ファミリーのGoogle Playからの拡散状況について監視を行い、ブックメーカーの公式アプリケーションを装って拡散されていた127のアプリケーションを検出しました。

起動されると、これらトロイの木馬はC&Cサーバーによって指定されたWebサイトをユーザーに対して表示させます。 Android.Click が検出された時点で、これらすべてのトロイの木馬がブックメーカーのインターネットポータルを開くようになっていました。ただし、いずれは、別の悪意のあるソフトウェアを拡散するWebサイトやフィッシング攻撃に使用されるWebサイトなど、あらゆる他のWebサイトを開くよう指示するコマンドを受け取るようになる可能性もあります。

Android.Click.265.origin は8月にGoogle Play上で検出されたまた別のクリッカー型トロイの木馬です。このトロイの木馬は有料モバイルサービスにユーザーを登録させるために使用されており、『Eldorado』のオンラインストアで動作するよう設計された公式アプリケーションを装って拡散されていました。

8月には、4月にDoctor Webのセキュリティリサーチャーによって検出された Android.Click.248.origin が、再びGoogle Play上に出現しました。前回同様、 Android.Click.248.origin は良く知られたソフトウェアを装って拡散されていました。このトロイの木馬は、ユーザーに対して様々なプログラムをダウンロードするよう提案するか、または報酬を受け取るよう促すフィッシングサイトの1つを開きます。プログラムをダウンロード、または報酬を受け取るために、ユーザーは確認コードを受け取るための携帯電話番号を入力するよう求められます。コードを入力してしまったユーザーは有料サービスに登録されるようになっています。感染したデバイスがモバイル通信でインターネットに接続されている場合、ユーザーは自動的に有料サービスに登録されます。

この脅威に関する詳細については、こちらの記事をご覧ください。

8月末、Doctor Webのセキュリティリサーチャーは、Google Play上でトロイの木馬 Android.FakeApp.110 を検出しました。サイバー犯罪者は違法な利益を得るためにこのトロイの木馬を使用していました。この悪意のあるプログラムは、ユーザーに対して調査に参加するよう促す詐欺サイトを開きます。質問に回答した後、ユーザーは本人を特定するための証明として100～200ルーブルの支払いを要求されます。しかしながら、支払いを行ったユーザーが報酬を受け取ることはありません。

8月にGoogle play上で検出された悪意のあるプログラムの中に、新たなバンキング型トロイの木馬があります。 Android.Banker.2843 と名付けられたそのうちの1つは、トルコの金融機関の公式アプリケーションを装って拡散されていました。 Android.Banker.2843 は、ユーザーの銀行口座にアクセスするためのログインとパスワードを盗み、サイバー犯罪者に送信します。

Android.Banker.2855 としてDr.Webのウイルスデータベースに追加されたまた別のバンキング型トロイの木馬は、異なるサービスツールとして拡散されていました。この悪意のあるプログラムは、そのファイルリソースからトロイの木馬 Android.Banker.279.origin を抽出して起動させます。このトロイの木馬が銀行のユーザー認証情報を盗みます。

Android.Banker.2855 の一部の亜種は、起動後にメイン画面から自身のショートカットを削除した後で偽のエラーメッセージを表示させ、モバイルデバイス上での存在を隠そうとします。

Android.BankBot.325.origin と名付けられたまた別のAndroid向けバンキング型トロイの木馬は、 Android.DownLoader.772.origin によって感染したデバイス上にダウンロードされていました。このダウンローダは、バッテリーオプティマイザなどの便利なアプリケーションを装ってGoogle Playから拡散されていました。

また、 Android.DownLoader.768.origin もGoogle Play上で検出されています。このダウンローダは、シェル社のアプリケーションを装って拡散されていました。 Android.DownLoader.768.origin は、さまざまなバンキング型トロイの木馬をモバイルデバイスにダウンロードします。

8月には、ダウンローダ型トロイの木馬 Android.DownLoader.784.origin もGoogle Play上で検出され、Dr.Webウイルスデータベースに追加されました。このトロイの木馬は『Zee Player』というアプリケーションに埋め込まれていました。このアプリケーションは、トロイの木馬がモバイルデバイスのメモリ内に保存されている写真や動画を非表示にすることを可能にします。

Android.DownLoader.784.origin は、サイバースパイ行為に使用することのできるAndroid.Spy.409.originをダウンロードします。

Android向けスパイウェア

8月、サイバースパイ用に設計された Android.Spy.490.origin がDr.Webのウイルスデータベースに追加されました。サイバー犯罪者は、このトロイの木馬を無害なアプリケーションに組み込み、それらの改変されたコピーをオリジナルのソフトウェアを装ってユーザーに気付かれることなく配信することができます。 Android.Spy.490.origin は、感染したデバイスのSMS通信と位置を監視し、通話を傍受・録音し、通話の内容に関する情報に加えデバイスのユーザーが撮影した写真や動画をリモートサーバーに送信することができます。

Google Playは最も安全なAndroidアプリの提供元です。しかしながら、サイバー犯罪者は依然としてGoogle Playから様々な有害なプログラムを拡散し続けています。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品を使用することをお勧めします。

2018年9月3日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストは、違法に収益を得るために使用されている数十の悪意のあるアプリケーションをGoogle Play上で検出しました。これらのプログラムは便利なソフトウェアや人気のソフトウェアを装って提供され、様々な詐欺手法に使用されています。また、その内の多くは他のトロイの木馬を拡散するために使用される可能性があります。

検出されたプログラムの1つである Android.Click.265.origin は、有料のモバイルサービスにユーザーを登録させるために使用されています。これは、長年にわたりサイバー犯罪者によって使用されてきた、良く知られた種類のネットワーク詐欺手法です。 Android.Click.265.origin は取引ネットワーク 『Eldorado』 のオンラインストアで使用する公式アプリケーションを装っています。Doctor Webのセキュリティリサーチャーは、トロイの木馬によるGoogle Playへの侵入の試みを2件検出しました。本記事掲載時点で、2種類の亜種がGoogle Playから削除されています。

Android.Click.265.origin は実際に謳われている機能を実行します。すなわち、 『Eldorado』 オンラインストアのモバイル版をウィンドウで開き、をれを通常通りに動作させます。しかしその一方で、 Android.Click.265.origin は好ましくない動作も実行します。このトロイの木馬は迷惑な広告を表示させ、また、有料のモバイルサービスのページを開き、該当するボタンを自動でクリックしてユーザーを登録させます。その後、ユーザーのモバイルアカウントから一定の金額が毎日引き落とされます。

Android.Click.248.origin は、Androidスマートフォンやタブレットのユーザーを有料サービスに登録させる詐欺手法に使用されていたまた別のトロイの木馬です。この悪意のあるプログラムは今年の4月よりDoctor Webのセキュリティリサーチャーに知られているもので、8月には再びGoogle Playから拡散されました。前回同様、 Android.Click.248.origin は 『Yula』 オンライン掲示板や AliExpress オンラインストア、 Yandex社の音声アシスタント 『Alisa』 のクライアントアプリケーションなど、良く知られたソフトウェアを装っていました。

このトロイの木馬は、ユーザーに対して良く知られたプログラムをダウンロードするよう提案するか、または報酬を受け取るよう促すフィッシングサイトの1つを開きます。そこでユーザーは携帯電話番号を入力するよう求められます。確認コードを受け取るためという名目ですが、実際には、このコードは有料サービスへの登録を確定するために使用されます。感染したデバイスがモバイル通信でインターネットに接続されている場合、このWebサイトに電話番号を入力した後、Androidデバイスのユーザーは自動的に有料サービスに登録されます。以下の画像は Android.Click.248.origin によって開かれる詐欺サイトの例です。

Google Playから拡散されていた8月に検出された悪意のあるプログラムの中には、そのほかにも Android.Click ファミリーの多くの亜種が含まれていました。Doctor Webのセキュリティスペシャリストによって分析されたこのファミリーの亜種は 『Olimp』、 『Fonbet』、 『The League of bets』、 『1xBet』、 『Winline』などの複数のブックメーカー（賭けサイト）の公式プログラムを装って拡散されていました。合計で44の開発者によって配信されていた127の悪意のあるプログラムがDoctor Webのセキュリティリサーチャーによって検出されています。Google社はこれらのアプリケーションを即座にGoogle Playから削除していますが、サイバー犯罪者たちは毎日のようにそれらを新たに追加し続けています。

起動すると、これらのトロイの木馬はC&Cサーバーに接続し、ユーザーに対して表示させるWebサイトをダウンロードするためのコマンドを受け取ります。現時点では、ブックメーカーの公式ページを開くようになっており、また、トロイの木馬のアプリケーション名は開かれるWebサイトとはまったく関係がありません。しかしながら、C&Cサーバーは、他の悪意のあるプログラムがAndroidデバイス上にダウンロードされる可能性のある不正なまたは有害なオンラインポータルを含む、他のあらゆる任意のWebリソースを開くよう指示するコマンドをトロイの木馬に与えることもできます。このことから、これらトロイの木馬は非常に危険であると言えます。

8月に検出されたまた別の詐欺トロイの木馬は、『Opros』（Survey：調査）と呼ばれるアプリケーション内に潜んでいました。 Android.FakeApp.110としてウイルスデータベースに追加されたこのトロイの木馬の作成者は、数分で終わる一般的な調査に参加することで報酬を受け取ることができると謳っていました。

起動されると、 Android.FakeApp.110は詐欺サイトをダウンロードします。ユーザーはそこで、いくつかの簡単な質問（例えば、好きな香水や乗っている車のブランドなど）に答えることで、スポンサーから多額の報酬を貰えるということになっています。

このような質問に回答した後、ユーザーは数万または数十万ルーブルもの報酬が支払われると告げられます。同時にユーザーは、決済システムの限度があるために支払いの一部は特定の期間に行われると告げられ、今すぐ受け取るにはユーザーを特定するためのIDとして100～200ルーブルを支払うよう指示されます。こうして詐欺行為が成立します。報酬を受け取ることを期待してユーザーは自らインターネット詐欺師にお金を払いますが、その後何も受け取ることはありません。Doctor Webはこの悪意のあるアプリケーションについてGoogle社に報告を行い、現在このアプリケーションはダウンロードすることができなくなっています。

モバイルデバイスのユーザーから金銭を引き出し、また、その他の利益を得るために、犯罪者は様々な策略を用い、常に新たな詐欺手法を編み出し続けています。アプリケーションをインストールする際は、たとえGoogle Playからであっても、慎重になるよう心がけてください。開発者の名前、プログラムの公開日のほか、他のユーザーのレビューに注意を払う必要があります。これらの簡単な対策でモバイルデバイスが感染するリスクを減らすことができます。さらに、Androidデバイスを保護するため、既知の悪意のあるアプリケーションや望まないアプリケーションすべてを検出・削除するAndroid向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。

Android.Click.265.originの詳細(英語)

Android.Click.248.originの詳細(英語)

Android.FakeApp.110の詳細(英語)

#Android #fraud #Google_Play #Trojan

2018年8月10日

株式会社Doctor Web Pacific

電子マネーや仮想通貨に関する操作中にクリップボードのウォレット番号を置き換えるMicrosoft Windows向けトロイの木馬は、コンピューターユーザーならびに情報セキュリティスペシャリストの両方に広く知られています。2018年8月、Doctor Webのウイルスアナリストは同様の機能を持った、Androidモバイルプラットフォーム向けの複数の悪意のあるプログラムについて調査を行いました。

送金先を元々の受け取り手からサイバー犯罪者へと変えるためにクリップボードのデジタルウォレット番号を置き換えることができるトロイの木馬は、一般的に「クリッパー」と呼ばれています。従来、このような悪意のあるプログラムはWindowsユーザーのみを対象としていました。同様の機能を持つAndroid向けのトロイの木馬は、ほとんど見られません。しかしながら、2018年8月、Androidユーザーに危害を加えるクリッパートロイの木馬 Android.Clipper の2つの亜種がDr.Webウイルスデータベースに追加され、 Android.Clipper.1.origin および Android.Clipper.2.origin と名付けられました。

Android.Clipper は、仮想通貨Bitcoin、 Monero、 zCash、 DOGE、 DASH、 Etherium、 Blackcoin、 Litecoinに加え、 QIWI、 WebMoney (R and Z)、 Yandex.Money 決済システムのデジタルウォレット番号を置き換えることができます。調査の対象となった Android.Clipper の亜種の1つは、Bitcoinデジタルウォレットのアプリケーションを装っていました。

感染したデバイス上で起動すると、トロイの木馬は偽のエラーメッセージを表示させ、ステルスモードで動作し続けます。このトロイの木馬は、Androidのホーム画面のアプリケーションリストから自身のアイコンを隠し、その後はシステム設定のアプリケーション管理セクションにのみ表示されます。 Android.Clipper のいずれの亜種も、感染したスマートフォンやタブレットの電源が入るたびに自動的に起動するようになります。

感染に成功すると、 Android.Clipper はクリップボードの内容の変更を追跡し始め、 ユーザーがデジタルウォレット番号をクリップボードにコピーすると、その番号をC&Cサーバーに送信します。続けて、別のサーバーに対してリクエストを送信し、元の番号の代わりにクリップボードに追加するサイバー犯罪者のウォレット番号を待ちます。

Android.Clipper の作成者は、ハッキングフォーラムでこのトロイの木馬ファミリーを積極的に販売しています。サイバー犯罪者のクライアントは、購入した悪意のあるプログラムのコピーごとに任意のアプリケーションアイコンと名前を使用することができます。今後、これらのトロイの木馬の亜種が無害で便利なソフトウェアを装って大量に拡散されるものと予想されます。

ウイルス作成者はその広告の中で、マルウェアの機能には、プログラム動作に関するレポートをTelegramアプリに送信する、FTPプロトコルを使用してクリップボードに埋め込まれたウォレット番号をすばやく変更するといったものが含まれていると主張しています。しかしながら、これらの機能はトロイの木馬自体には実装されておらず、C&Cサーバーによってサイバー犯罪者に提供されます。

Android向けのDr.Web製品はトロイの木馬 Android.Clipper ファミリーに属するすべての既知の亜種を検出・削除しています。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Android.Clipper.1.originの詳細(英語)

Android.Clipper.2.originの詳細(英語)

#Android #bitcoin #cryptocurrencies

2018年8月10日

株式会社Doctor Web Pacific

7月の初め、Doctor Webのウイルスアナリストは珍しい拡散パターンを用いた新たなマイニング型トロイの木馬について調査を行いました。また、7月にはスパマーによる詐欺サイトの広告が活発になり、Androidモバイルプラットフォームを標的とする新たなマルウェアがDr.Webウイルスデータベースに追加されました。

7月の脅威

アプリケーションの更新メカニズムを使用したマルウェアの拡散は、これまでもDoctor Webのセキュリティスペシャリストによって確認されています。 Trojan.Encoder.12544 (Petya、 Petya.A、 ExPetya、 WannaCry-2) ならびに BackDoor.Dande はこの手法を用いて拡散されていました。7月、アンチウイルスによって毎回削除されているにも関わらず、仮想通貨をマイニングするアプリケーションがコンピューター上で継続的に検出されているという情報が、Doctor Webのユーザーからテクニカルサポートに寄せられました。調査の結果、コンピュータークラブやインターネットカフェを自動化するためのプログラム『Kompiuternyi Zal』が原因であるということが明らかになりました。

このプログラムの更新メカニズムが、マイニング型トロイの木馬 Trojan.BtcMine.2869 を自動的にダウンロード・インストールしていました。7月9日の時点で2700台を超えるコンピューターが Trojan.BtcMine.2869 に感染しているということがDoctor Webのセキュリティリサーチャーによって確認されています。この脅威に関する詳細については、こちらの記事をご覧ください。

Doctor Web統計サーバーによる統計

JS.BtcMine.7

仮想通貨を密かにマイニングするよう設計されたJavaScriptです。

JS.Inject

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。

Trojan.DownLoader

感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。

Trojan.Starter.7394

感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。

メールトラフィック内で検出された脅威の統計

JS.Inject

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。

JS.BtcMine.7

仮想通貨を密かにマイニングするよう設計されたJavaScriptです。

Trojan.PWS.Stealer

感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。

Trojan.Inject

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。

暗号化ランサムウェア

2018年7月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした：

• Trojan.Encoder.858 — リクエストの17.69%
• Trojan.Encoder.25574 — リクエストの11.38%
• Trojan.Encoder.11464 — リクエストの8.06%
• Trojan.Encoder.567 — リクエストの5.08%
• Trojan.Encoder.5342 — リクエストの3.85%
• Trojan.Encoder.24249 — リクエストの3.33%

危険なWebサイト

7月、様々な不正サイトの広告を含んだメールの大量配信がDoctor Webのスペシャリストによって発見されました。中でも特に、スパマーはpassport.yandex.ru上でメールアドレスとアカウントとの連携を確認するよう促す、Yandex社からのものを装ったメールを送信していました。指定されたメッセージ内のリンクは実際にYandexポータルにつながるものとなっていますが、賞品を受け取ることができるとされたもう一つのリンクは、その賞品を受け取るために少額のお金を支払うよう要求するネットワーク詐欺師のサイトにつながるようになっています。

他の詐欺メールの多くは、Googleドキュメントなどの共有サービスのページへのリンクを含むものでした。そこには、ロボットからの自動保護を提供するパネルであるreCAPCHAを模倣した画像の含まれたWebページが犯罪者によって置かれています。その画像をクリックしたユーザーは様々な詐欺サイトへとリダイレクトされます。

Doctor Webのアナリストは詐欺サイトのアドレスを特定し、それらすべてをDr.Web Parental ControlおよびOffice Controlの非推奨サイトデータベースに追加しました。

2018年7月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は512,763件となっています。

モバイルデバイスを脅かす悪意のある、または望まないプログラム

7月にはGoogle Play上で危険な悪意のあるプログラムが複数検出されました。そのうちの1つ Android.Banker.2746 は、バンキングアプリケーションが起動されると、個人データを入力するための偽のウィンドウを表示させます。また別のトロイの木馬 Android.DownLoader.753.origin は、Google Play上でメインの悪意のあるプログラムが検出されることを避けるため、サイバー犯罪者のサーバーからAndroid向けのバンキング型トロイの木馬をダウンロードしていました。7月にはその他のバンキング型トロイの木馬も拡散され、そのうちの1つが Android.BankBot.279.origin でした。このトロイの木馬は不正なサイトを訪問した際にユーザーのモバイルデバイス上にダウンロードされます。また、バックドア Android.Backdoor.554.origin がDr.Webのウイルスデータベースに追加され、サイバースパイ行為を行うよう設計された新たなプログラム Program.Shadspy.1.origin と Program.AppSpy.1.origin が発見されています。

7月の注目に値するモバイルマルウェアに関するイベントは以下のとおりです。

• Google Play上でトロイの木馬を検出
• Android向けバンキング型トロイの木馬の拡散
• Windows搭載コンピューターを感染させるために使用されていた、Android向けバックドアの拡散
• 新たな商用スパイプログラムの検出

モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。

2018年8月9日

株式会社Doctor Web Pacific

2018年7月、Android向けの危険なバックドア Android.Backdoor.554.origin が再び拡散されました。このトロイの木馬はユーザーをスパイし、サイバー犯罪者が感染したスマートフォンやタブレットを遠隔操作することを可能にするもので、2017年4月よりDoctor Webのウイルスアナリストに知られています。 Android.Backdoor.554.origin にはWindows向けのワームが密かに含まれていました。このワームは、モバイルデバイスに接続されたメモリカードにコピーされ、その後Windows搭載コンピューターを感染させます。また、Androidスマートフォンやタブレットのユーザーは7月も引き続きバンキング型トロイの木馬による攻撃を受けました。 Android.Banker.2746 と名付けられた、それらトロイの木馬の1つはGoogle Play上のアプリケーション内で検出されています。他のバンキング型トロイの木馬の多くは、同じくGoogle Playから拡散されている Android.DownLoader.753.origin によってモバイルデバイス上にダウンロードされていました。その他にも、バンキング型トロイの木馬 Android.BankBot.279.origin が検出されています。このトロイの木馬は便利なアプリケーションを装って拡散されていました。さらに、7月には新たな商用スパイウェアプログラム Program.Shadspy.1.origin と Program.AppSpy.1.origin がDoctor Webのウイルスアナリストによって発見されました。

7月のモバイル脅威

7月、セキュリティスペシャリストはAndroidスマートフォンとタブレットのユーザーを攻撃する新たなバックドア Android.Backdoor.554.origin を発見しました。このトロイの木馬は、 WhatsApp や Telegram などの良く知られたソフトウェアの新しいバージョン、またはシステムやその他の重要なアップデートを装って拡散されていました。

Android.Backdoor.554.origin はサイバー犯罪者のコマンドを実行し、彼らが感染したモバイルデバイスをコントロールし、そのユーザーをスパイすることを可能にしていました。このトロイの木馬は、Androidスマートフォンやタブレットの位置を追跡し、一般的なメッセージングプログラムでのやり取りを傍受し、通話やSMSにアクセスし、電話帳から連絡先情報を盗み、その他の悪意のある行為を行っていました。また、このバックドアは、そのファイルリソース内に Win32.HLLW.Siggen.10482 と名付けられたWindowsワームを隠し持っていました。モバイルデバイスを感染させた後、 Android.Backdoor.554.origin はワームをメモリカードにコピーし、画像の保存されているカタログに置きます。その際、拡張子".pif"を持った実行ファイル Win32.HLLW.Siggen.10482 には、それが置かれているディレクトリの名前が付きます。ユーザーが画像を見るためにこれらのディレクトリを開いたり、コンピューターにコピーしたりすると、ワームを実行してしまう危険性があります。

以下の画像は、トロイの木馬 Android.Backdoor.554.origin がワーム Win32.HLLW.Siggen.10482 を置いていたディレクトリの一覧です。

次の画像は、感染したAndroidデバイスのメモリカード上の画像のあるディレクトリにワームの実行ファイルがコピーされた例です。

Dr.Web for Androidによる統計

Android.Altamob.1.origin

悪意のあるモジュールを密かにダウンロード・起動させる広告プラットフォームトロイの木馬です。

Android.HiddenAds.288.origin

Android.HiddenAds.524

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.Mobifun.4

別のマルウェアアプリケーションをダウンロードするトロイの木馬です。

Android.Xiny.197

別の悪意のあるアプリケーションを密かにダウンロード・インストールするよう設計されたトロイの木馬です。

Adware.SalmonAds.3.origin

Adware.Altamob.1.origin

Adware.Appalytic.1.origin

Adware.Adtiming.1.origin

Adware.Jiubang.2

Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。

バンキング型トロイの木馬

7月、情報セキュリティのスペシャリストはGoogle Play上でトロイの木馬を検出しました。Doctor Webの分類に従って Android.DownLoader.753.origin と名付けられたこの悪意のあるプログラムは、金融アプリケーションを装って拡散されていました。一部の亜種は謳われている機能を実際に実行しますが、残りの亜種はそれらの機能を持たず、本物のバンキングソフトウェアをPlay Storeのページでダウンロードしてインストールするよう提案します。

Android.DownLoader.753.origin は、 Android.BankBot ファミリーに属するバンキング型トロイの木馬の1つをリモートサーバーから密かにダウンロードし、それをインストールさせるために標準的なインストールウィザードを表示させます。

7月中旬、Doctor Webのエキスパートは、Android向けバンキング型トロイの木馬 Android.Banker.2746 について調査を行いました。このトロイの木馬は公式のバンキングアプリケーションを装ってGoogle Playから拡散されていました。

犯罪者は、トルコの金融機関の顧客口座にアクセスするためにこのトロイの木馬を使用していました。 Android.Banker.2746 は偽のログインとパスワードの入力ボックスを表示させ、ワンタイム認証コードを含んだSMSを横取りします。

7月にユーザーを攻撃していたバンキング型トロイの木馬の1つ Android.BankBot.279.origin は、不正なWebサイトを使用して拡散されていました。ユーザーがモバイルデバイスでそのサイトにアクセスすると、Adobe Flash Player、オンライン通信プログラム、VPNクライアント、その他のソフトウェアなどの無害で便利なプログラムを装って、トロイの木馬がダウンロードされます。 Android.BankBot.279.origin は、スマートフォンやタブレットにインストールされたバンキングアプリケーションの起動をトラッキングし、それらのウィンドウの前面にユーザーのアカウントにアクセスするための偽のログイン認証フォームを表示させます。また、画面ロック解除のPINコードを変更し、感染したデバイスをブロックすることができます。

以下の画像は、そこから Android.BankBot.279.origin がモバイルデバイスやタブレットにダウンロードされたWebサイトの例です。

スパイウェア

7月には、新たな複数の商用スパイウェアがDoctor Webのスペシャリストによって発見されました。 Program.AppSpy.1.origin と名付けられたそのうちの1つは感染したデバイスの位置を追跡し、通話を盗聴してSMSメッセージを横取りします。サイバースパイ行為を行うもう1つのプログラムは Program.Shadspy.1.origin としてDr.Webのウイルスデータベースに追加されました。幅広い機能を備えたこのアプリケーションは、SMSのやり取りや通話、デバイスの位置をモニタリングし、内蔵マイクを使用して周囲の音声を録音し、Webブラウザから履歴を、また、ユーザーのカレンダーからイベントのスケジュールコピーし、 スマートフォンやタブレットのカメラを使用してスナップショットを撮り、さらにその他多くの操作を行うことができます。また、ルート権限では、 Facebook や WhatsApp アプリケーションでのやり取りを傍受することができます。

バンキング型トロイの木馬は、モバイルデバイスユーザーにとって深刻な脅威となっています。サイバー犯罪者は、不正なサイトのみでなく公式のGoogle Playストアからもこれらの悪意のあるプログラムを拡散し続けています。バンキング型トロイの木馬や、その他のAndroidトロイの木馬からお使いのデバイスを保護するため、Android向けのDr.Webアンチウイルス製品を使用することをお勧めします。

2018年8月7日

株式会社Doctor Web Pacific

ユーザーに知られることなく動作する仮想通貨マイニングソフトウェアが、サイバー犯罪者の間で広まっています。それらの大半はWindows用に設計されており、Linux向けのマイナーはそれほど多くありません。本記事では、Doctor Webのセキュリティリサーチャーによって先頃検出されたバージョンについて紹介します。

ここで取り上げる、仮想通貨をマイニングするよう設計された悪意のあるソフトウェアやユーティリティは、Doctor Webの「ハニーポット」(サイバー犯罪者に対する罠としてDoctor Webのスペシャリストによって使用される特別なサーバー)の1つでダウンロードされていました。セキュリティリサーチャーがLinuxサーバーに対するこのような攻撃を最初に検出したのは2018年5月初めのことです。サイバー犯罪者は、辞書を使ってログインとパスワードを探し当て(ブルートフォース)、SSHプロトコル経由でサーバーに接続していました。サーバーでの認証に成功した後、サイバー犯罪者はファイアウォールの動作を管理するiptablesユーティリティを無効にし、続けてサーバー上にマイニングユーティリティとその設定ファイルをダウンロードしていました。次に、ユーティリティを起動するために /etc/rc.local ファイルの内容を編集し、その後、接続を終了しています。

6月、サイバー犯罪者はこの手法を変化させ、Dr.Webウイルスデータベースに Linux.BtcMine.82 という名前で追加された悪意のあるソフトウェアを使用するようになりました。このトロイの木馬はGoで書かれています。パックされたマイナーを本体に含むドロッパーが、そのマイナーをディスクに保存して起動させます。このような手法によって、攻撃が大幅に簡易化されます。マイニングされた仮想通貨を転送するための e-wallet (イーウォレット)番号はマルウェアの本体にハードコードされています。

セキュリティリサーチャーは、このトロイの木馬のダウンロード元となるサイバー犯罪者のサーバーについて調査を行い、そこで複数のWindows向けマイナーを検出しました。

マイナーのWindows向けバージョンは、設定ファイル、マイナーを起動するための複数のVBSスクリプト、そして仮想通貨をマイニングするためのユーティリティを含む、自己解凍型のRARアーカイブです。アーカイブを起動すると、ユーティリティは %SYSTEMROOT%\addins フォルダに展開され、 SystemEsinesBreker サービスとして登録されます。

Windows32ビット版および64ビット版向けバージョンのマイナーは、Dr.Web Anti-virusによって Tool.BtcMine として検出されます。Dr.Webのユーザーは、これらのプログラムによる悪意のある活動から確実に保護されています。

Linux.BtcMine.82の詳細 (英語)

2018年5月31日

株式会社Doctor Web Pacific

2018年5月、Doctor Webのスペシャリストはトロイの木馬 Android.Click.248.origin を含んだGoogle Playアプリケーションを複数発見しました。このトロイの木馬は偽のWebサイトを読み込み、そこでユーザーを高額なモバイルサービスに登録させます。また、人気のソフトウェアプログラムを装って拡散されていた悪意のあるプログラム Android.FakeApp もGoogle Play上で検出されています。この悪意のあるプログラムはサイバー犯罪者の指示に従ってリンクを辿り、Webサイトへのトラフィックを増加させます。そのほかGoogle Play上で発見された脅威に、 Android.HiddenAds ファミリーに属するトロイの木馬があります。これらトロイの木馬は広告を表示するよう設計されています。さらに5月には、サイバースパイ行為に使用されていたトロイの木馬 Android.Spy.456.origin と Android.Spy.457.origin も発見されています。5月下旬には、新たな商用スパイウェアプログラム Program.OneSpy のシグネチャがDr.Webウイルスデータベースに追加されました。

5月のモバイル脅威

5月、Doctor WebのスペシャリストはGoogle Play上でトロイの木馬 Android.Click.248.origin を検出しました。このトロイの木馬はSkypeやAlisa（実際には個別のアプリとしては提供されていないYandex音声アシスタント）などの人気のプログラムを装って拡散されていました。

このトロイの木馬は偽のWebサイトを読み込み、そこでユーザーを騙して有料コンテンツサービスに登録させます。この脅威に関する詳細については、こちらの記事をご覧ください。

Dr.Web for Androidによる統計

Android.HiddenAds.210.origin

Android.HiddenAds.222.origin

モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.SmsSend.1338.origin

有料番号に対してSMSメッセージを送信する悪意のあるプログラムです。

Android.Mobifun.4

別のAndroidアプリケーションをダウンロードするよう設計されたトロイの木馬です。

Android.Xiny.1403

別の悪意のあるアプリケーションを密かにダウンロード・インストールするよう設計されたトロイの木馬です。

Adware.Adtiming.1.origin

Adware.Jiubang.2

Adware.Adpush.601

Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

ユーザーの介入なしに密かにアプリケーションを起動するよう設計されたリスクウェアです。

GOOGLE PLAY上の脅威

5月、Doctor Webのスペシャリストは人気のアプリケーションを装って拡散されていた Android.FakeApp をGoogle Play上で発見しました。 Android.FakeApp はサイバー犯罪者のコマンドに従って、指定されたリンクをクリックしてWebサイトを読み込むことでそこへのアクセス数を増加させます

このトロイの木馬は次のような特徴を持っています。

• シンプルなAndroidプログラムを簡単な手順で作成することを可能にするAppsGeyserサービスを使用して作成されています。
• 人気のアプリケーションを装って拡散されています。
• 便利な機能は一切含まれていません。
• トロイの木馬をGoogle Play上で配信していた7名の開発者が明らかになっています。

以下は、Google Play上で発見された偽のアプリケーションの例です。

また、5月には Android.HiddenAds.267.origin や Android.HiddenAds.277.origin など、トロイの木馬ファミリー Android.HiddenAds の新たな亜種が発見されました。これらの悪意のあるプログラムは、人気のある無害なアプリケーションを装って拡散されていました。このトロイの木馬の主な機能は広告を表示させるというものです。

サイバースパイ

5月には、サイバー犯罪者がサイバースパイ行為に使用していた新たなAndroidトロイの木馬が複数、セキュリティリサーチャーによって発見されました。そのうちの1つはGoogle Playから拡散されており、 Android.Spy.456.origin と名付けられました。この悪意のあるプログラムは、感染したデバイスの連絡先リストから写真やSMSメッセージ、連絡先を盗み、それらをサイバー犯罪者の所有するリモートサーバーにロードします。5月に発見されたまた別のスパイウェアは Android.Spy.457.origin としてDr.Webのウイルスデータベースに追加されました。このスパイウェアはAndroidスマートフォンやタブレットのメモリ内に保存された画像や動画を盗み、モバイルデバイスの位置情報を追跡し、SMSメッセージを盗み、周囲の音声を盗聴し、通話を録音することができます。

5月下旬、Doctor Webのスペシャリストは商用スパイウェアプログラムOnespyの新たなバージョンを発見し、このプログラムは Program.Onespy.3.origin と名付けられました。 Program.Onespy.3.origin はSMSメッセージや通話を横取りし、感染したデバイスの位置を追跡し、周囲の音声を盗聴し、写真、動画、文書ならびにその他のファイルを盗み、 Skype、 Viber、 WhatsApp、 Line、 Facebookなどの一般的なメッセンジャーでのやり取りを追跡するほか、それ以外の悪意のある動作を実行することもできます。

Google社による取り組みの甲斐なく、Google Playからは依然としてAndroid向けトロイの木馬が拡散され続けています。また、モバイルデバイスを標的とする悪意のあるプログラムや潜在的に危険なプログラムはGoogle Play以外の場所にも潜んでいます。お使いのスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。

2018年5月14日

株式会社Doctor Web Pacific

3月下旬、Doctor Webは感染したデバイスからファイルやその他の機密情報を盗むトロイの木馬の拡散について報告しました。この度、この悪意のあるプログラムの新たな複数の亜種について分析を行い、その開発者を特定することに成功しました。

Doctor WebのスペシャリストはYouTube動画のコメント内に貼られたリンクから拡散されていた Trojan.PWS.Stealer.23012 の複数の新たな亜種について調査を行いました。動画は、コンピューターゲームの操作を簡単にする、いわゆるチートやトレーナーと呼ばれる特殊なプログラムの使用に関するものです。サイバー犯罪者は動画に対して偽のアカウントからコメントを書き込んで Yandex.Disk へのリンクを貼り、それらのプログラムを装ってトロイの木馬を拡散させていました。この悪意のあるリンクはTwitter上でも広く宣伝されています。

この度調査の対象となったスパイウェアの亜種は全てPythonで書かれ、 py2exeを使用して実行ファイルに変換されていました。 Trojan.PWS.Stealer.23370 と名付けられた新たな亜種の1つは、感染したデバイスのディスクをスキャンし、 Chromiumベースのブラウザの保存されたパスワードとCookieファイルを探します。また、このトロイの木馬は Telegram、 FileZilla FTPクライアントから情報を盗み、事前に指定されたリストに従って画像やOffice文書をコピーします。収集されたデータはアーカイブにパックされ、 Yandex.Disk に保存されます。

Trojan.PWS.Stealer.23700 と名付けられたまた別の亜種は Google Chrome、 Opera、 Yandex.Browser、 Vivaldi、 Kometa、 Orbitum、 Comodo、 Amigo、 Torchからパスワードと Cookie ファイルを盗みます。このスパイウェアは SSFN ファイルと Telegram アカウントへのアクセスに必要なその他のデータを Steam の config サブフォルダからコピーするほか、 Windows Desktop上に保存された画像や文書のコピーを作成します。盗まれた全ての情報はアーカイブにパックされ、クラウドストレージである pCloud 上にロードされます。

3つ目の亜種は Trojan.PWS.Stealer.23732 と名付けられました。このトロイの木馬のドロッパーはAutoitで書かれており、ディスク上に複数のアプリケーションを保存してそれらを起動させます。これらのアプリケーションはトロイの木馬のコンポーネントです。そのうちの1つはスパイウェアモジュールで、これまでのバージョンと同様Pythonで書かれ、実行ファイルに変換されています。このモジュールは感染したデバイスから情報を盗みます。その他のコンポーネントはGoで書かれ、そのうちの1つがブラウザのインストールされているフォルダを探すためにディスクをスキャンし、また別の1つが盗んだデータをアーカイブにパックして pCloud ストレージ上にロードします。

この亜種をウイルス作成者から購入したサイバー犯罪者は、その拡散に独創的な手法を用いています。テーマを持った Telegram チャンネルの管理者と接触し、自分たちが開発したとする新しいプログラムについて投稿を行い、そのプログラムを試すよう持ち掛けたのです。サイバー犯罪者によると、このプログラムによって1台のコンピューター上で複数の Telegram アカウントに同時に接続することができるということですが、実際には、被害者は便利なアプリケーションを装ったスパイウェア型トロイの木馬をダウンロードするよう促されます。

ウイルスアナリストは、これらスパイウェア型トロイの木馬のコード内に含まれた情報から、その作成者を特定することに成功しました。ウイルス作成者は 「Yenot Pogromist」 という偽名を使用し、トロイの木馬を開発するだけでなく、一般的なWebサイト上でそれらの販売も行っていました。

このスパイウェア作成者は、悪意のあるソフトウェアの開発に関するYouTubeチャンネルを持っています。さらに、自身のGitHubページを持ち、このページ上に自分の開発した悪意のあるプログラムのソースコードを投稿しています。

Doctor Webのスペシャリストはオープンソースのデータを分析し、トロイの木馬の開発者の複数のメールアドレスと、違法行為に使用されていた Telegram アカウントの設定に使われている携帯電話番号を特定しました。そのほかにも、ウイルス作成者が悪意のあるプログラムの拡散に使用していた複数のドメインを明らかにし、彼らの居住する市を特定することに成功しています。以下の画像は、「Yenot Pogromist」とこの人物の使用するテクニカルリソースとの繋がりの一部を表したものです。

盗まれたファイルの保存先となるクラウドストレージのログイン認証情報はトロイの木馬の本体に組み込まれていました。このことが、悪意のあるソフトウェアを購入した 「Yenot Pogromist」 の全てのクライアントの特定を容易にし、そのほとんどがロシアとウクライナの住民であるということが明らかになりました。一部のクライアントが使用しているメールアドレスは、それらによってソーシャルネットワーク上の彼らのページを容易に見つけることができるようなものであり、Doctor Webのスペシャリストは 「Yenot Pogromist」 のクライアントの多くがアンダーグラウンドフォーラムで売られている別のスパイウェアも使用しているということを突き止めました。また、中には、自身のコンピューター上で、恐らくはその動作を評価するために、スパイウェアを起動させたクライアントもいるということは言及に値するでしょう。その結果、彼らの個人的なファイルはクラウドストレージ上にロードされ、あらゆるセキュリティリサーチャーがトロイの木馬の本体から彼らのアクセスデータを労せずして取得することができるようになりました。

これらクライアントの方々には、悪意のあるプログラムを使用・配布することはロシア連邦刑法典第273条に基づき4年以下の懲役に処せられる可能性のある犯罪であるということを心に銘記していただきたいと思います。スパイ行為を行うトロイの木馬の購入者やユーザーもまた、ロシア連邦刑法典第272条「コンピューター上の情報への不正アクセス」の対象となります。

• Trojan.PWS.Stealer.23700の詳細(英語)
• Trojan.PWS.Stealer.23370の詳細(英語)
• Trojan.PWS.Stealer.23732の詳細(英語)

2018年4月26日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストは、トロイの木馬 Android.RemoteCode.152.origin の埋め込まれたアプリケーションをGoogle Play上で発見しました。この悪意のあるプログラムはアドウェアプラグインを含んだ追加のモジュールを密かにダウンロードし、起動させます。それらを使用して、 Android.RemoteCode.152.origin は見えない広告をダウンロードし、それらをクリックすることでウイルス作成者に収益をもたらします。

Android.RemoteCode.152.origin は、2017年より知られているトロイの木馬 Android.RemoteCode.106.origin の新しいバージョンです。Doctor Webでは Android.RemoteCode.106.origin について11月に記事を発表しています。この悪意のあるプログラムはソフトウェアモジュールであり、ソフトウェア開発者が自分たちのアプリケーション内に埋め込んでGoogle Play経由で拡散していました。 Android.RemoteCode.106.origin の主な機能は、広告Webページをダウンロードしてそこにあるバナーをクリックするよう設計されている、補助プラグインを密かにダウンロード・起動することです。 Android.RemoteCode.106.origin の新しいバージョンも同様の動作を行います。

トロイの木馬が埋め込まれたアプリケーションが初めて起動された後、 Android.RemoteCode.152.origin は一定の間隔で自動的に動作を開始し、デバイスの再起動後に自動的に起動します。したがって、 Android.RemoteCode.152.origin が動作するために、モバイルデバイスのユーザーが感染したアプリケーションを絶えず使用する必要はありません。

この悪意のあるプログラムは起動時に管理サーバーからトロイの木馬のモジュールの1つ (Android.Click.249.origin としてDr. Webのウイルスデータベースに追加されています) をダウンロードし、起動させます。このコンポーネントは、アプリケーションを収益化するよう設計された MobFox SDK広告プラットフォームをベースにした、また別のモジュールをダウンロードして起動させます。これを使用して、トロイの木馬は様々な広告やバナーを密かに作成し、それらをクリックすることでウイルス作成者に収益をもたらします。また、 Android.RemoteCode.152.origin はモバイルマーケティングプラットフォーム AppLovin に接続し、さらなる収益を得るために同じく広告をダウンロードします。

Doctor Webのウイルスアナリストによって、このトロイの木馬の埋め込まれたアプリケーションが複数、Google Play上で発見されています。それらはすべてゲームアプリで、ダウンロード数は合計で650万件を超えています。Doctor Webは発見したプログラムについてGoogle社に報告を行い、本記事掲載時点でいくつかのアプリケーションがGoogle Playから削除されています。また、一部のアプリケーションでは、悪意のあるモジュールの削除されたアップデートがリリースされています。

Android.RemoteCode.152.origin は、次のプログラムで発見されています。

• Beauty Salon - Dress Up Game、バージョン5.0.8
• Fashion Story - Dress Up Game、バージョン5.0.0
• Princess Salon - Dress Up Sophie、バージョン5.0.1
• Horror game - Scary movie quest、バージョン1.9
• Escape from the terrible dead、バージョン1.9.15
• Home Rat simulator、バージョン2.0.5
• Street Fashion Girls - Dress Up Game、バージョン6.07
• Unicorn Coloring Book、バージョン134

Doctor Webのスペシャリストによるさらなる分析の結果、そのほかにも、すでにGoogle Playから削除されている、 Android.RemoteCode.152.origin を含んだ複数のアプリケーションが特定されています。

• Subwater Subnautica、バージョン1.7
• Quiet, Death! 、バージョン1.1
• Simulator Survival、バージョン0.7
• Five Nigts Survive at Freddy Pizzeria Simulator、バージョン12
• Hello Evil Neighbor 3D、バージョン2.24
• The Spire for Slay、バージョン1.0
• Jumping Beasts of Gang、バージョン1.9
• Deep Survival、バージョン1.12
• Lost in the Forest、バージョン1.7
• Happy Neighbor Wheels、バージョン1.41
• Subwater Survival Simulator、バージョン1.15
• Animal Beasts、バージョン1.20

以下の画像は、 Android.RemoteCode.152.origin の埋め込まれたソフトウェアの例です。

モバイルデバイスが悪意のあるプログラムや不要なプログラムに感染するリスクを減らすため、Doctor Webでは既知の信頼できる開発者によるアプリケーションのみをインストールすることを推奨しています。Android向けのDr.Webアンチウイルス製品は、 Android.RemoteCode.152.origin の既知の亜種をすべて検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

[Android.RemoteCode.152.originの詳細]

#Android, #Google_Play, #ad_software, #Trojan

2018年4月16日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストによって、新たな暗号化トロイの木馬についての分析が行われました。このエンコーダによって暗号化されたファイルは、サイバー犯罪者によるエラーのため、多くの場合、復元することができません。

この新たな暗号化トロイの木馬は Trojan.Encoder.25129 と名付けられました。Dr.Webアンチウイルスの予防的保護は、このトロイの木馬を自動的に DPH:Trojan.Encoder.9 として検出します。起動されると、 Trojan.Encoder.25129 は感染したデバイスのIPアドレスに基づいてユーザーの所在地を確認します。このトロイの木馬は、デバイスがロシア、ベラルーシ、カザフスタンにある場合、またはシステムの言語や地域の設定でロシア語やロシアが設定されている場合にはファイルを暗号化しないよう設計されています。しかしながら、コードのエラーにより、このエンコーダーはIPアドレスの所在地に関係なくすべてのファイルを暗号化します。

Trojan.Encoder.25129 はカレントユーザーのフォルダ、 Windows デスクトップ、 AppDataおよび LocalAppData システムフォルダのコンテンツを暗号化します。暗号化は AES-256-CBC アルゴリズムを使用して行われ、暗号化されたファイルには拡張子「.tron」が付きます。 30,000,000バイト(約28.6MB)を超えるファイルは暗号化されません。暗号化が完了すると、 %ProgramData%\\trig ファイルが作成され、そこに「123」の値が書き込まれます(このファイルがすでに存在している場合、暗号化は行われません)。次に、トロイの木馬はWebサイト iplogger にリクエストを送信します。サイトのアドレスはトロイの木馬本体にハードコードされています。続けて、 Trojan.Encoder.25129 は身代金を要求するウィンドウを表示させます。

身代金の要求額は0.007305～0.04ビットコインと、異なります。「HOW TO BUY BITCOIN」ボタンをクリックすると、仮想通貨ビットコインを購入する方法について説明するウィンドウがトロイの木馬によって表示されます。

身代金を要求するテキストには、被害者は暗号化されたファイルを復元することができると記載されていますが、コードのエラーにより、多くの場合、復元することは不可能です。

このトロイの木馬は、Dr.Web製品の予防的保護によって検出・削除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。また、Doctor Webでは、重要なデータのバックアップをタイムリーに取ることをお勧めしています。

Trojan.Encoder.25129の詳細

2018年4月16日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、Google Play上でトロイの木馬 Android.Click.245.origin を検出しました。このトロイの木馬は犯罪者の指示に従ってWebサイトを読み込み、そこでユーザーを騙して有料コンテンツサービスに登録させます。ユーザーが偽の「プログラムをダウンロード」ボタンをクリックすると自動的に登録が行われる場合もあります。

サイバー犯罪者は開発者Roman Zencovを名乗り、人気のアプリケーションを装って Android.Click.245.origin を配布していました。それらの中には、まだAndroid版のリリースされていないゲームMiraculous Ladybug & Cat Noir、春先に有名になった、電話を発信し電話番号を保存するアプリGetContact、Yandexアプリケーションに組み込まれていて個別のアプリとしては提供されていない音声AIアシスタントAliceなどがあります。トロイの木馬を含んだプログラムの1つは、Google Play上の新しい人気アプリ上位30にランクインしています。

Doctor Webは Android.Click.245.origin についてGoogle社に報告を行い、このトロイの木馬はGoogle Playから削除されましたが、2万を超えるユーザーが偽のアプリケーションをダウンロードしています。これらのプログラムはいずれもユーザーの期待する機能を持っていません。その唯一の目的はサイバー犯罪者のコマンドに従ってWebページを読み込むということです。

以下の画像は、Google Play上で発見された悪意のあるアプリケーションのページです。

起動されると、 Android.Click.245.origin はC&Cサーバーとの接続を確立し、サーバーからのタスクを待ちます。次に、感染させたデバイスのIPアドレスに応じて、読み込むべき特定のWebサイトへのリンクを取得します。 Android.Click.245.origin はこのリンクを辿り、WebViewを使用して特定のページを表示させます。デバイスがWi-Fi経由でインターネットに接続している場合、ユーザーは該当するボタンをクリックすることでアプリケーションをダウンロードするよう促されます。例えば、ユーザーが偽の音声AIアシスタントAliceを起動した場合、ダウンロードされるのは「Alice Yandex.apk」ファイルです。

ユーザーがファイルをダウンロードしようとすると、認証目的やダウンロードを確定するためという名目で、電話番号を入力するよう求められます。電話番号を入力したユーザーは、「ダウンロード」を完了するためにWebサイト上で入力しなくてはならない確認コードを受け取ります。ところが、ユーザーは目的のプログラムを入手する代わりに有料サービスに登録されてしまいます。

感染させたデバイスがモバイル通信経由でインターネットに接続している場合、トロイの木馬によって開かれたWebサイトはいくつかのリダイレクトを行い、その後、Google ChromeでWebサイトが表示されます。このページで、ユーザーは「Continue（続ける）」をクリックしてファイルをダウンロードするよう促され、ダウンロードが開始される別のサイトへとリダイレクトされます。「Start download（ダウロードを開始する）」をクリックしたユーザーは、 Wap-Clickテクノロジーを使用して高額なサービスに自動的に登録され、毎日使用料が引き落とされることになります。また、そのようなサービスへは、電話番号やSMSで受け取る確認コードの入力無しにアクセスすることができます。

タスクを受け取らなかった場合、トロイの木馬はインターネットから複数の写真をダウンロードし、それらを画面上に表示させます。

不要なサービスにユーザーを登録させる方法は、サイバー犯罪者にとって最も一般的かつ良く知られた不正な収益源となっています。中でも特に、Wap-Clickを使用したそのような高額サービスへの登録は、登録についてユーザーに知らせることがなく、悪徳なコンテンツプロバイダによって使用されることが多いことから、非常に危険です。

お金を失うことを防ぐため、スマートフォンやタブレットのユーザーはWebサイトを閲覧する際は慎重になり、疑わしいリンクやボタンをクリックしないようにしてください。また、良く知られた信頼できる開発者によって配信されているソフトウェアのみをインストールするようにし、アンチウイルスを使用することをお勧めします。

Dr.Web for Androidは Android.Click.245.origin の既知の亜種をすべて検出します。したがって、Dr.Webのユーザーに危害が及ぶことはありません。

Android.Click.245.originの詳細

2018年4月5日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストによって、 Sberbank(ロシア貯蓄銀行)の顧客を標的とした Android.BankBot.358.origin の拡散が確認されました。この悪意のあるプログラムはバンクカードの情報を盗み、口座から出金し、感染したデバイスをロックして身代金を要求します。 Android.BankBot.358.origin によって、7,800万ルーブルを超える損失が発生する可能性があります。

この Android.BankBot.358.origin は2015年よりDoctor Webに知られています。ウイルスアナリストは、 Sberbankのロシアの顧客を攻撃するよう設計された Android.BankBot.358.origin の新たな亜種が、すでに6万をこえるモバイルデバイスを感染させているものと見ています。ウイルス作成者はこの悪意のあるアプリケーションの複数の異なるバージョンを拡散させていることから、その被害者の数は大幅に増加する可能性があります。サイバー犯罪者が感染したデバイスの銀行口座から盗むことのできる総額は7,800万ルーブルを超えます。さらに、サイバー犯罪者は携帯電話のアカウントから270万ルーブルを盗むことができます。

以下の画像は、感染したデバイスに関する情報と検出されたボットネットの1つに関する統計を含んだ Android.BankBot.358.origin の管理パネルのセクションです。

このバンキング型トロイの木馬は、サイバー犯罪者および悪意のあるプログラム自体の両方から送信される偽のSMSメッセージ経由で拡散されています。メッセージの多くは Avito.ru ユーザーからのものを装って送信されています。これらのSMSメッセージは、ユーザーに対し、リンクを辿り、投稿した広告に対するレスポンスを読むよう提案するものです。例えば、「Good day, are you interested in an exchange? (こんにちは、取引しませんか？)」という文章が多く使用されています。また、モバイルデバイスユーザーは、ローンやモバイル送金、銀行口座への送金に関する偽の通知を受け取る場合もあります。以下は、トロイの木馬のサーバーの管理パネルで設定され、サイバー犯罪者のコマンドに応じて送信されたフィッシングメッセージの例です。

ユーザーがメッセージのリンクを辿ると、サイバー犯罪者のWebサイトに飛ばされ、そこからモバイルデバイス上に悪意のあるAPKファイルがダウンロードされます。ダウンロード後にトロイの木馬がインストールされる可能性を向上させるため、サイバー犯罪者は Android.BankBot.358.origin に実際のAvitoラベルを使用することで信憑性を高めています。このトロイの木馬の一部の亜種は、Visaやウエスタンユニオン決済システムを使用するためのソフトウェアなどの他のプログラムとして拡散される場合があります。

Android.BankBot.358.origin は初回起動時にデバイス管理者権限へのアクセスを要求します。この要求は、ユーザーが諦めて求められるすべての権限を許可するまでしつこく続けられます。必要なすべての特権を取得した後、トロイの木馬はインストールエラーに関する偽のメッセージを表示し、ホーム画面上のプログラムのリストから自身のアイコンを削除します。こうして Android.BankBot.358.origin はスマートフォンやタブレット上で自身の存在を隠そうと試みます。ユーザーが管理者のリストからトロイの木馬を削除しようとすると、 Android.BankBot.358.origin はセルフプロテクション機能を有効にし、システム設定の該当するウィンドウを閉じます。また、トロイの木馬の一部のバージョンは、独自のロック画面PINコードを追加でインストールします。

デバイスを感染させた後、 Android.BankBot.358.origin はC&Cサーバーとの接続を確立し、感染が成功した旨を通知して、その後の指示を待ちます。このトロイの木馬の主な目的はロシア語圏の Sberbankの顧客から金銭を盗むことで、その主要な攻撃ベクターはフィッシングです。サイバー犯罪者は、偽のメッセージを含むウィンドウで感染したデバイスをブロックするためのコマンドをトロイの木馬に対して送信します。このウィンドウは、リモートバンキングならびに決済システムである Sberbank Onlineの外観を模倣し、 Sberbankやその他の金融機関の顧客であるかどうかに関係なく、すべてのユーザーに対して表示されます。メッセージの内容は、1万ルーブルの送金を受け取ることができると通知するものとなっています。お金を受け取るために、スマートフォンまたはタブレットのユーザーは、カード番号、名前、有効期限、CVVセキュリティコードなどのバンクカード情報を提供するよう促されます。さらに、この悪意のあるウィンドウは必要なすべてのデータを入力しない限り閉じることができず、デバイスはブロックされたままになります。そのため、ユーザーは「銀行口座への送金」を確定しなければならず、入力されたバンクカード情報はサイバー犯罪者に送信されます。その結果、犯罪者は被害者の銀行口座からすべての金銭を盗むことができるようになります。

ただし、本記事掲載時点において、このトロイの木馬の既存の亜種はバンクカード情報について完全なチェックを行っておらず、どのようなデータを入力してもブロックは解除されます。したがって、 Android.BankBot.358.origin の攻撃を受けたモバイルデバイスユーザーはフィッシングウィンドウを閉じ、アンチウイルスを使用してこの悪意のあるプログラムを削除することができます。その方法は、偽のフォームに16～18桁からなる任意のカード番号を入力し、2017年～2030年の間の有効期限を指定するというものです。絶対に、実際の Sberbankまたはその他のカードの情報を入力しないようにしてください。サイバー犯罪者が口座へのアクセスを取得してしまいます。

しかしながら、偽の情報が入力されたと気付いたウイルス作成者がスマートフォンやタブレットを再度ブロックするためのコマンドを送信することを防ぐことはできません。そのため、フィッシングウィンドウが閉じた後に、できるだけ早くアンチウイルスを使用してデバイスをスキャンし、トロイの木馬を削除する必要があります(ダウンロードはこちらから : https://download.drweb.co.jp/android/)。

ユーザーがモバイルバンキングサービスを使用している場合、 Android.BankBot.358.origin はそれを使用して被害者の口座から金銭を盗もうとします。トロイの木馬は、オンラインバンキングシステムで動作を実行するためのコマンドを含んだSMSメッセージを密かに送信します。その後、ユーザーの現在のカード残高を確認し、サイバー犯罪者の銀行口座またはモバイルアカウントに自動的に送金を行います。以下の画像は、リモートバンキングサービスを利用して金銭を盗む Android.BankBot.358.origin の例です。

さらなる収益を得るために、 Android.BankBot.358.origin の一部のバージョンでは、禁止されている動画を見たことに対する罰金を要求するメッセージを表示させることで、感染したデバイスをブロックすることができます。また、その悪意のある動作を隠すため、このトロイの木馬の複数の亜種は、システムアップデートのインストールに関する通知によって、感染したスマートフォンやタブレットの画面をブロックすることができます。

ウイルス作成者は、C&Cサーバーの管理パネルでウィンドウブロックのパラメータ(表示されるメッセージのテキスト、表示期間、および必要な身代金など)を設定することができます。以下は、コントロールパネルの該当するセクションの例です。

金銭を盗んだり、感染したデバイスをブロックする以外に、 Android.BankBot.358.origin は他の悪意のある動作も実行することができます。 Android.BankBot.358.origin はサイバーから受け取ったコマンドに応じて以下の動作を実行します。

• 自身を更新する
• 連絡先リストに含まれたすべての番号に対してSMSメッセージを送信する
• コマンド内で指定されたすべての番号に対してSMSメッセージを送信する
• サイバー犯罪者によって指定されたWebサイトを読み込む
• デバイス上に保存されたすべてのSMSメッセージをサーバーに送信する
• 連絡先リスト内の連絡先に関する情報を取得する
• 偽の受信SMSメッセージを作成する

Dr.Web for Androidは Android.BankBot.358.origin のすべての既知の亜種を検出します。そのため、Dr.Webユーザーに危害が及ぶことはありません。Doctor Webでは、 Android.BankBot.358.origin に関する情報をすでに Sberbankに提供しています。また、このトロイの木馬について引き続き監視を行っていきます。

Android.BankBot.358.originの詳細

#Android #banker #mobile #ransom #banking_Trojan

QRコードを使用してDr.Web Security Space for Androidをダウンロード

2018年3月23日

株式会社Doctor Web Pacific

Doctor Webでは、感染したデバイスからファイルや機密情報を盗むよう設計された危険なトロイの木馬の拡散について、ユーザーに注意を呼び掛けています。それらのデータを利用することで、サイバー犯罪者はソーシャルネットワークサイトやその他のオンラインサービス上のユーザーのアカウントにアクセスすることができます。

Trojan.PWS.Stealer.23012 は、Microsoft Windows搭載コンピューターを感染させる、Pythonで書かれた悪意のあるプログラムです。このトロイの木馬の拡散は2018年3月23日に始まり、現在も続いています。サイバー犯罪者は悪意のあるプログラムへのリンクをYouTube動画に対するコメント内で公開しています。それら動画の多くは、特別なアプリケーションを使用した、ゲームでのチーティング方法 (いわゆる「チート行為」) に焦点を当てたものです。サイバー犯罪者はトロイの木馬をそのようなプログラムや便利なユーティリティとして拡散させようとしています。リンク先はYandex.Diskサーバーで、ユーザーにリンクをクリックさせるために、動画には偽のカウントを使用して書かれたコメントが含まれています。被害者がリンクをクリックしてしまうと、トロイの木馬を含んだ自己解凍形式のRARアーカイブがコンピューター上にダウンロードされます。

動画のコメントセクションに投稿された、悪意のあるファイルへのリンクの例

感染したコンピューター上で起動されると、 Trojan.PWS.Stealer.23012 は以下の情報を収集します。

• Vivaldi、 Chrome、 YandexBrowser、 Opera、 Kometa、 Orbitum、 Dragon、 Amigo、 Torchブラウザに保存されたCookie
• それらのブラウザに保存されたログイン／パスワード
• スクリーンショット

また、Windowsデスクトップから「.txt」、「.pdf」、「.jpg」、「.png」、「.xls」、「.doc」、「.docx」、「.sqlite」、「.db」、「.sqlite3」、「.bak」、「.sql」、「.xml」拡張子を持つファイルをコピーします。

Trojan.PWS.Stealer.23012 は、収集したすべての情報を C:/PG148892HQ8 フォルダに保存します。その後、すべてのデータが spam.zip アーカイブにパックされ、感染したデバイスの位置情報に関するデータと一緒にサイバー犯罪者のサーバーに送信されます。

Doctor Webのウイルスアナリストによって、このトロイの木馬の複数の亜種が発見されており、それらの一部は Trojan.PWS.Stealer.23198 として検出されます。Dr.Webアンチウイルス製品は Trojan.PWS.Stealer.23012 のすべての既知の亜種を検出することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Trojan.PWS.Stealer.23012の詳細

2018年3月20日

株式会社Doctor Web Pacific

2016年の1月、Doctor Webはトロイの木馬 Android.BankBot.149.origin を発見しました。このバンキング型トロイの木馬のソースコードが犯罪者によって公開された後、それを基にした新たな亜種がウイルス作成者の手により数多く作成され、現在も勢いよく進化し続けています。それらの中には、仮想通貨を使用するためのアプリケーションのユーザー名とパスワードを盗み、ユーザーをスパイする、多機能な悪意のあるプログラムへと変化を遂げたものもあります。

Android.BankBot.149.origin は典型的な一連の機能を持つバンキング型トロイの木馬として登場しました。様々な金融機関のオンラインバンキングシステムから口座のユーザー名とパスワードを盗むためのフィッシングウィンドウを表示させるほか、クレジットカードの情報を盗むことができ、また、送金確認のワンタイムパスワードにアクセスするために受信するSMSを横取りする機能を備えていました。このトロイの木馬のソースコードが一般に公開されると、ウイルス作成者たちはそれを基に、似たようなトロイの木馬を多数作成するようになりました。それと同時に、犯罪者がそれらトロイの木馬をGoogle Playから次々に拡散させました。そのようなバンキング型トロイの木馬には、無害で便利なアプリケーションを装って拡散されていた Android.BankBot.179.origin、 Android.BankBot.160.origin、 Android.BankBot.163.origin、 Android.BankBot.193.origin、 Android.Banker.202.originなどがあります。

Android.BankBot.250.origin としてDr.Webウイルスデータベースに追加されているトロイの木馬もまた、 Android.BankBot.149.origin のコードを使用して作成されたまた別のトロイの木馬です。Anubisとしても知られるこのトロイの木馬の最初のバージョンは2017年11月にDoctor Webのウイルスアナリストによって発見されました。これらの亜種は Android.BankBot.149.origin の機能をほぼ完ぺきにコピーしています。このバンキング型トロイの木馬は以下の動作を実行することができます：

• コマンドで指定された番号に対して、特定のテキストを含んだSMSメッセージを送信する
• USSDリクエストを実行する
• デバイス上に保存されたSMSメッセージのコピーを管理サーバーに送信する
• インストールされているアプリケーションに関する情報を受け取る
• コマンドで指定されたテキストを含むダイアログボックスを表示させる
• 追加の動作許可を要求する
• コマンドで指定された内容のプッシュ通知を表示させる
• トロイの木馬のコード内で設定されている内容のプッシュ通知を表示させる
• サーバーWebページから受け取ったコンテンツを表示させるデバイスウィンドウWebViewの画面をブロックする
• 連絡先リストにあるすべての番号をサーバーに送信する
• 連絡先リストにあるすべての番号に対してSMSメッセージを送信する
• デバイスとその現在位置に関する情報にアクセスする
• アクセシビリティ機能 (Accessibility Service) へのアクセスを要求する
• 感染させたスマートフォンやタブレットのIPアドレスを取得する
• 自身の設定ファイルをクリーンアップし、動作を停止する

以下の画像は、トロイの木馬 Android.BankBot.250.origin のコントロールパネルの一例です。

Android.BankBot.250.origin の新しいバージョンの登場に伴い、その機能は次第に拡張されていきました。 Android.BankBot.325.origin と名付けられたトロイの木馬には、感染したデバイスにリモートでアクセスする機能が備わっています。その結果、このバンキング型トロイの木馬はリモート管理ユーティリティまたはRAT (Remote Administration Tools：リモート管理ツール) として動作することができます。また、感染したスマートフォンやタブレットのメモリ内に保存されたファイルのリストを確認し、それらのファイルを管理サーバーにダウンロードしたり削除したりすることができるという機能のほか、画面上で起こっているすべてのことを監視し、スクリーンショットを作成してそれらを犯罪者に送信するという新たな機能が加わっています。さらに、 Android.BankBot.325.origin はウイルス作成者のコマンドに応じて内蔵マイクで周囲の音声を聞くことができます。そのため、サイバースパイ行為に使用される可能性があります。以下の画像は、トロイの木馬の管理サーバーの管理パネルのセクションです。このセクションで、犯罪者はトロイの木馬にコマンドを与えることができます。

バンキング型トロイの木馬の分析結果により、ウイルス作成者は、デスクトップシステムへのリモートアクセスシステムを表し、Virtual Network Computing (ヴァーチャル・ネットワーク・コンピューティング) の略語である「VNC」をメソッド名とコントロールコマンド内で使用しているということが示されていました。ところが、これは Android.BankBot.325.origin では導入されておらず、犯罪者はその名前を自分たちの便宜のためのみに使用しています。いずれにしても、サイバー犯罪者は感染したデバイスを遠隔操作する能力を身につけ始め、バンキング型トロイの木馬をより普遍的な悪意のあるアプリケーションへと変化させていると結論付けることができます。以下の画像は Android.BankBot.325.origin のコード片です。前述の略語が使用されています。

Doctor Webのウイルスアナリストによって調査された Android.BankBot.325.origin の最新の亜種の1つには、さらなる機能が追加されていました。以下は、そのリストです。

• コマンドで指定された番号に対して、特定のテキストを含んだSMSメッセージを送信する
• USSDリクエストを実行する
• アプリケーションを起動させる
• 管理サーバーのアドレスを変更する
• デバイス上に保存されたSMSメッセージのコピーを管理サーバーに送信する
• インストールされているアプリケーションに関する情報を受け取る
• キーボードで入力された文字を記録する (キーロガー)
• 追加の動作許可を要求する
• コマンドで指定されたテキストを含むダイアログボックスを表示させる
• コマンドで指定された内容のプッシュ通知を表示させる
• トロイの木馬のコード内で設定されている内容のプッシュ通知を表示させる
• 連絡先リストにあるすべての番号をサーバーに送信する
• 連絡先リストにあるすべての番号に対してSMSメッセージを送信する
• サーバーWebページから受け取ったコンテンツを表示させるデバイスウィンドウWebViewの画面をブロックする
• アクセシビリティ機能 (Accessibility Service) へのアクセスを要求する
• 通話をリダイレクトする
• コマンドで指定されたWebサイトをブラウザで開く
• WebViewを使用してWebページへのリンクを開く
• ファイルを暗号化して身代金を要求する
• ファイルを復号化する
• デバイスのマイクを使用して周囲の音声を録音する
• デバイスとその現在位置に関する情報にアクセスする
• デバイスのIPアドレスを取得する
• 設定ファイルをクリーンアップし、トロイの木馬を停止させる

以下の画像は、犯罪者が管理パネルを介してバンキング型トロイの木馬に送信することのできるコマンドの一覧を示しています。

バンキング型トロイの木馬に対して送信されるコマンドのほとんどは同じパネル内で設定されます。たとえば、以下の画像はファイルの暗号化設定のものですが、ウイルス作成者は暗号化キー、 Android.BankBot.325.origin が被害者から要求する身代金の金額 (例：ビットコインで) 、送金のための e-wallet (イーウォレット) 番号を設定することができます。

同じパネル内で、サイバー犯罪者が必要とするアプリケーションをユーザーに起動させるための偽の通知を設定することができます。そのアプリケーションが起動されると、トロイの木馬はログインとパスワード、およびその他の機密情報を要求するフィッシングフォームを表示させ、それらの情報をウイルス作成者に送信します。

同様に、フィッシングウィンドウも追加のパラメータで設定されます。

Android.BankBot.325.origin は、バンキングサービス、決済システム、ソーシャルネットワークにアクセスするためのソフトウェアを含む、160を超えるプログラムの起動時に偽の認証フォームを表示させます。さらに、それらのプログラムには、仮想通貨を扱うための人気のアプリケーションが追加されています。 Android.BankBot.325.origin は、そのようなプログラムからログインとパスワードを盗もうと試みる最初のバンキング型トロイの木馬ではありませんが、本物のアプリケーションのインターフェースに似せたフィッシングウィンドウの外観を持っています。以下の画像は、そのような偽の認証フォームの例です。

ウイルスアナリストによると、ロシア、ウクライナ、トルコ、英国、ドイツ、フランス、米国、香港、ハンガリー、イスラエル、日本、ニュージーランド、ポーランド、ルーマニアのユーザーがこのトロイの木馬による攻撃を受けています。ただし、このリストには、サイバー犯罪者が興味を示した国が新たに加わっていく可能性があります。

Doctor Webのスペシャリストは、 Android.BankBot.325.origin の作成者は引き続きこのトロイの木馬の機能を向上させ続け、感染したスマートフォンやタブレットの遠隔操作に新たな機能を追加していくものと予測しています。新たなスパイ機能が追加される可能性があります。Dr.WebのAndroid向けアンチウイルス製品は、この悪意のあるアプリケーションのすべての既知の亜種を検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Android.BankBot.325.originの詳細

2018年3月13日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストによって、Google Play上で新たなAndroid向けトロイの木馬が発見されました。このトロイの木馬は人気のアプリを装って拡散されていました。これらの偽アプリはサイバー犯罪者のコマンドに応じてあらゆるWebページを読み込み、表示させることができます。この機能はフィッシング攻撃に使用することができます。

検出されたプログラムは、人気アプリケーションと同じ名前、そしてそっくりなアイコンを持っています。Doctor Webのセキュリティリサーチャーによって、偽のQIWIアプリケーション(ロシアの決済サービスプロバイダ)、 Sberbank Online、 Odnoklassniki およびVK(人気のソーシャルネットワーク)、 NTV(ロシアのテレビチャンネル)が見つかっています。以下の画像では、サイバー犯罪者がどのように被害者を騙すのかが分かります。左の画像は、Google Play上で簡単に見つけることのできる偽アプリケーションのページです。そして右の画像は本物のアプリケーションのページです。

偽のアプリケーションは起動される度にC&Cサーバーに接続し、サーバーは「none」パラメータで応答するか、またはサイバー犯罪者によって指定されたWebリンクを送信します。パラメータを受信すると、悪意のあるプログラムはリソースから複数の画像を抽出してユーザーに対して表示します。Webリンクを受信した場合はWebページを読み込み、表示させます。このページはWebViewを介してアプリケーション内で直接開かれます。ユーザーには、ターゲットとなるインターネットアドレスへのリンクは表示されません。表示されるWebページのコンテンツはさまざまです。例えば、スマートフォンユーザーに対しては、オンラインバンキングシステムやソーシャルネットワークの偽のログインフォームが表示されます。その上、Androidスマートフォンやタブレットのユーザーは、フィッシング攻撃を受ける危険性があります。この機能は深刻な脅威となることから、当該ソフトウェアは Android.Click.415 としてDr.Webウイルスデータベースに追加されました。

上記トロイの木馬の他に、70を超える同じようなプログラムがDoctor Webセキュリティリサーチャーによって発見されており、27万人以上のユーザーがそれらをダウンロードしています。それらのアプリケーションには、偽のゲーム、レシピコレクション、編み物マニュアルなどがあり、その一部には謳われた機能を実際に実行するものもあります。しかしながら、 Android.Click.415 と同様にC&CサーバーからあらゆるWebページのリンクを受け取ることもでき、それらのWebページを読み込み、ユーザーに対して表示させる機能を備えています。これらのプログラムもまた、 Android.Click.416 および Android.Click.417 としてウイルスデータベースに追加されました。また、悪意のあるアプリケーションのさまざまな亜種が、動作中にモバイルデバイスの画面上に常に広告を表示させます。

Tezov apps、 Aydarapps、 Chmstudio、 SVNGamesの少なくとも4つのソフトウェアデベロッパーがトロイの木馬を拡散しています。Doctor Webでは、検出されたすべての悪意のあるアプリケーションについてGoogle社に報告しましたが、本記事掲載時点で、アプリケーションは未だダウンロード可能な状態となっています。

Doctor Webでは、たとえGoogle Playのような信頼できるソースからアプリケーションをインストールする場合であっても、ソフトウェアデベロッパーの名前に注意を払う必要があるということにユーザーの注意を喚起しています。サイバー犯罪者は、アプリの外観をコピーし、似たような名前を使用することで、ソフトウェア配信サービスで簡単に見つけることのできる偽のアプリをユーザーにインストールさせることができます。Dr.WebのAndroid向けアンチウイルス製品は Android.Click.415 、 Android.Click.416 、 Android.Click.417 のすべての既知の亜種を検出・削除することができます。したがって、Dr.Webユーザーに危害が及ぶことはありません。

• Android.Click.415の詳細
• Android.Click.416の詳細
• Android.Click.417の詳細

2018年3月6日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、既知のトロイの木馬ファミリーである Trojan.LoadMoney に属する複数のトロイの木馬について調査を行いました。これらトロイの木馬は感染させたコンピューター上に他の危険なアプリケーションをダウンロードすることができます。

Trojan.LoadMoney トロイの木馬ファミリーは2013年より知られており、その新たな亜種が定期的に出現しています。そのようなトロイの木馬の1つが Trojan.LoadMoney.3209 です。このトロイの木馬には、他のマルウェアをダウンロード・起動するために使用される2つのインターネットアドレスが含まれています。調査を実行した時点で、このトロイの木馬は両方のアドレスから同様に暗号化されたファイルをダウンロードし、それをランダムな名前で一時フォルダに保存していました。さらに、このファイルは削除された後でメモリ内にロードされ、再びランダムな名前で一時フォルダに保存されます。最後に、この実行ファイルがメモリ内に読み込まれ、起動されます。元のファイルは削除されます。

Trojan.LoadMoney.3209 によってダウンロードされるファイルの1つは Trojan.LoadMoney.3558 として検出されます。この Trojan.LoadMoney.3558 は、メインとなってシステムを感染させる、より複雑な悪意のあるプログラムです。ファイルをダウンロードするために、無料で配信されているユーティリティcURLを使用しますが、このユーティリティは、異なる複数のプロトコルを使用することでインターネット上にある複数のサーバーと同時にやり取りすることを可能にします。このトロイの木馬はそれらを復号化し、ディスクに保存します。感染させたコンピューター上にcURLを使用してファイルをダウンロードするために、 Trojan.LoadMoney.3558 はWindowsタスクスケジューラを利用します。このトロイの木馬にはインターネットリソースの暗号化されたアドレスが4つ含まれており、そのうちの1つはcURLユーティリティと動作するために使用され、その他のアドレスは Trojan.LoadMoney.3263 と名付けられた実行ファイルをダウンロードするために使用されます。 Trojan.LoadMoney.3263 はユーザーに気付かれることなく密かに起動され、その起動時には、元のファイル Trojan.LoadMoney.3263 が削除されます。

ダウンロード後、トロイの木馬は実行ファイルを抽出し、そのヘッダを復元して一時フォルダに保存した後、実行ファイルを起動させます。ファイルはDr.Webによって Trojan.Siggen7.35395 として検出されます。ウイルス開発者は悪意のあるコードに視覚的な特徴を与えていないため、上記トロイの木馬はいずれも感染したシステム内で姿を現しません。そのため、その悪意のある活動を検出することは困難です。

Doctor Webでは、この悪意のあるプログラムのファミリーと危険なファイルについて引き続き調査を行い、新たな情報が明らかになり次第、報告させていただきます。Dr.Webのアンチウイルス製品は Trojan.LoadMoney ファミリーのすべての既知の亜種からの保護を提供します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Trojan.LoadMoney.3209の詳細

2018年3月5日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、様々な金融機関のオンラインバンキングサービスにアクセスするためのバンキングアプリケーションを装って拡散されているトロイの木馬をGoogle Play上で発見しました。この悪意のあるアプリケーションはロシアのユーザーからログイン認証情報やその他の機密情報を盗むよう設計されています。

Android.BankBot.344.origin と名付けられたこのトロイの木馬は「VSEBANKI – Vse banki v odnom meste（ALLBANKS – すべての銀行を一か所に）」と呼ばれるアプリケーションに隠されていました。サイバー犯罪者は2月25日にアプリケーションをGoogle Play上にアップロードし、500人近いモバイルユーザーが実際にアプリをダウロードしています。さらに、犯罪者は「ラッキーな」ユーザーに代わってわざわざ偽のレビューまで投稿しています。Doctor Webのスペシャリストはこのトロイの木馬についてGoogle社に報告を行い、その後直ちにトロイの木馬はGoogle Playから削除されました。

バンキングアプリケーションを装ってGoogle Playから拡散されたトロイの木馬のデザイン

Android.BankBot.344.origin は、同じくGoogle Playから拡散され、2月に発見された悪意のあるプログラム Android.BankBot.336.origin の亜種です。以前のバージョンと同様、様々な金融機関のオンラインサービスへのアクセスを提供するアプリケーションを装って拡散されていますが、ウクライナのユーザーを標的としていた以前のバージョンと異なり、 Android.BankBot.344.origin はロシアの銀行の利用者を攻撃するよう設計されています。実際には、アプリケーションには提供されるはずの機能は備わっていません。

アプリケーションを使用してユーザーがオンラインアカウントにアクセスすることができるとされるロシアの銀行のリスト

Android.BankBot.344.origin はユーザーに対し、ログインとパスワードを使用して既存のモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するよう促します。ユーザーがデータを入力してしまうと、それらがサイバー犯罪者に送信されます。その結果、犯罪者はユーザーから金銭を盗むことが可能になります。以前のバージョンと同様、 Android.BankBot.344.origin は受信するSMSメッセージを横取りすることができます。

フィッシング入力フォームの例。金融機関のオンラインバンキングにアクセスするためにログイン認証情報を求められる。

フィッシング入力フォームの例。ユーザーはログインし、クレジットカード情報を入力するよう促される。

Doctor Webでは、オンラインバンキングシステムを使用する際は金融機関の公式アプリケーションのみをインストールするよう推奨しています。Dr.Web for Androidは Android.BankBot.344.origin の既知の亜種をすべて検出します。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Android.BankBot.344.originの詳細

2018年3月1日

株式会社Doctor Web Pacific

2017年の中頃、Doctor Webのアナリストは一部の安価なモデルのAndroidデバイスのファームウェア内で新たなトロイの木馬 Android.Triada.231 を発見しました。それ以降、感染するデバイスの数は絶えず増加し続け、現時点で、そのリストには40を超えるモデルが含まれています。Doctor Webのスペシャリストはこのトロイの木馬について監視を続けてきました。この記事ではその結果を公表します。

Android.Triada.231 は、危険なAndroid.Triadaトロイの木馬の1つです。これらトロイの木馬は重要なシステムコンポーネントであるZygoteのプロセスを感染させます。このプロセスはあらゆるアプリケーションの起動に使用されるものです。モジュール内に挿入されたトロイの木馬は、実行中の他のアプリケーションに侵入します。これにより、ユーザーの介入なしに様々な悪意のある動作を実行(アプリケーションを密かにダウンロード・起動する)することが可能になります。 Android.Triada.231 の主な特徴は、 libandroid_runtime.so システムライブラリ内に埋め込まれているという点にあります。このトロイの木馬は個別のプログラムとして拡散されるのではなく、製造過程でデバイスのファームウェア内に侵入します。ユーザーが購入するとき、デバイスは既に感染していることになります。

昨年の夏、 Android.Triada.231 を検出したDoctor Webのセキュリティリサーチャーは、感染したデバイスを製造しているメーカーに対して報告を行いました。しかしながら、新しいスマートフォンのモデルは依然としてこのトロイの木馬に感染し続けています。たとえば、2017年12月に発売されたLeagoo M9スマートフォンでの検出があげられます。その上、Doctor Webアナリストの調査によると、このスマートフォンのファームウェアへのトロイの木馬の埋め込みは、Leagooのパートナーである上海のソフトウェアデベロッパーからの要求に応じて行われたものであるということが示されています。この企業は、モバイルOSのイメージ内に含むために自社のアプリケーションの1つをLeagooに提供し、そのコンパイル前にシステムライブラリ内に第三者製コードを追加するよう指示していました。残念なことに、この問題のある要求についてメーカーはなんら疑問を抱きませんでした。その結果、最終的に Android.Triada.231 は易々とスマートフォンへの侵入を果たすこととなったのです。

このアプリケーションを分析した結果、Android.MulDrop.924と同じ証明書を使って署名されているということが明らかになりました。このトロイの木馬について、Doctor Webでは2016年に記事を掲載しています。 Android.Triada.231 の拡散には、モバイルOSイメージ内に追加のプログラムを含むよう要求したデベロッパーが、直接的または間接的に関わっているものと考えられます。

現時点で、 Android.Triada.231 は40を超えるデバイスモデルのファームウェアで検出されています:

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Tesla SP6.2
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ-5510 Strike Power Max 4G (Russia)

このリストは包括的なものではありません。遥かに多くの数のスマートフォンモデルが感染している可能性があります。

このような大規模な Android.Triada.231 の拡散は、Androidデバイスメーカーはセキュリティの問題とシステムコンポーネント内へのトロイの木馬のコードの侵入についてほとんど注意を払っていないということを示すものです。これはエラーによるものか、あるいは悪意を持って意図的に行われたものであると考えられ、常習的なものである可能性があります。

Dr.Web for Androidは Android.Triada.231 のすべての亜種を検出します。お使いのモバイルデバイスが感染しているかどうかを確認するには、徹底的なスキャンを行ってください。root権限のあるDr.Web Security Space for Androidは、感染したシステムコンポーネントを修復することで Android.Triada.231 を駆除することができます。デバイスのroot権限を使用できない場合は、OSのクリーンなイメージをインストールすることでこのトロイの木馬を削除することができます。クリーンなイメージを入手するにはデバイスのメーカーに連絡してください。

Android.Triada.231の詳細

2018年2月28日

株式会社Doctor Web Pacific

2月、Doctor Webのセキュリティリサーチャーは、デバッグモードが有効になった様々なAndroidデバイスを感染させるマイニング型トロイの木馬を検出しました。そのほか、機密情報と金銭を盗む Android.BankBot.336.origin がユーザーを脅かしました。

2月のモバイル脅威

2月には Android.CoinMine.15 が広く拡散されました。サイバー犯罪者は、仮想通貨Moneroをマイニングするためにこのトロイの木馬を使用していました。 Android.CoinMine.15 はワームとして設計され、ネットワークに接続されたAndroidスマートフォンやタブレット、スマートテレビ、ルーター、メディアプレイヤーを感染させます。ただし、感染させることができるのは、デバイスでAndroid Debug Bridge(ADB)デバッグモードが有効になっている場合のみです。デバイスを感染させると、トロイの木馬のコンポーネントの1つが別のデバイスを検出し、トロイの木馬のコピーをそのデバイス上にインストールします。

Dr.Web for Androidによる統計

Android.RemoteCode.121.origin

Android.RemoteCode.117.origin

悪意のあるものを含む、様々なプログラムモジュールをダウンロード・起動させるトロイの木馬です。

Android.HiddenAds.253

Android.HiddenAds.222.origin

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.Mobifun.4

別のマルウェアアプリケーションをダウンロードするよう設計されたトロイの木馬です。

Adware.Adpush.601

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Leadbolt.12.origin

Androidアプリケーション内に組み込まれた不要なプログラムモジュールです。モバイルデバイス上に迷惑な広告を表示させます。

Tool.SilentInstaller.1.origin

ユーザーの介入なしに密かにアプリケーションを起動するよう設計されたリスクウェアです。

バンキング型トロイの木馬

2月には、Google Play上で Android.BankBot.336.origin が検出されています。サイバー犯罪者は、様々なインターネットバンキングシステムで動作するよう設計された汎用アプリケーションとしてこのトロイの木馬を拡散していました。 Android.BankBot.336.origin はクレジットカードに関する情報に加えて、ユーザーのアカウントからログインとパスワードを盗みます。その後、トロイの木馬はユーザーの銀行口座からサイバー犯罪者へと密かに送金を行います。

ウイルス開発者はAndroid向けの悪意のあるプログラムを継続的に改良し、既知の手法や革新的な手法を駆使してそれらを拡散し続けています。Google Play上での様々なトロイの木馬の発見は依然として後を絶ちません。これらの脅威からスマートフォンやタブレット、その他のデバイスを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。