ウイルスレビュー(モバイル)

2025年第3四半期のモバイルマルウェアレビュー

Wed, 01 Oct 2025 00:00:00 GMT

2025年10月1日

Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）によって収集された検出統計によると、2025年第3四半期に最も多く検出された脅威は広告を表示させるトロイの木馬 Android.MobiDash となりました。その検出数は前四半期比で18.19%増加しています。

2番目に多く検出されたのは、2四半期連続で活動の減少が続いているアドウェア型トロイの木馬 Android.HiddenAds でした。第3四半期の検出数は71.85%の減少となっています。このトロイの木馬は検出と削除を困難にするために自身のアイコンを隠し、広告を表示させます。表示される広告の種類には全画面モードでの動画も含まれています。

サイバー犯罪者によってさまざまな詐欺スキームに用いられるトロイの木馬 Android.FakeApp が前四半期に引き続き3位となりました。その検出数は7.49%減少しています。多くの場合、これら悪意のあるアプリはうたわれた機能を実行する代わりに詐欺サイトや悪意のあるサイト、ブックメーカーやオンラインカジノのサイトなどさまざまなWebサイトを開きます。

バンキング型トロイの木馬では、その活動に38.88%の減少がみられたものの依然として Android.Banker トロイの木馬が最も多く検出されています。Android.Banker は銀行口座に不正アクセスして金銭を盗み取る目的で脅威アクターによって使用されています。このファミリーに属するトロイの木馬はフィッシング画面を表示させてログインIDとパスワードを窃取する、正規銀行アプリの外観を模倣する、SMSを傍受してワンタイムコードを盗むなどといった機能を備えています。

続いて、前四半期比18.91%増となった Android.BankBot トロイの木馬が2位につけました。このトロイの木馬も認証コードを傍受することでユーザーのインターネットバンキングアカウントにアクセスしようとします。そのほか、サイバー犯罪者から受け取るさまざまなコマンドを実行することもでき、それらの中には感染したデバイスの遠隔操作を可能にするものもあります。

3位となったのは Android.SpyMax トロイの木馬で、その検出数は前四半期比で17.25%減少しています。Android.SpyMax はスパイウェア型トロイの木馬SpyNoteのソースコードを基に作成されており、感染したデバイスの遠隔操作を含む広範な機能を備えています。

8月、Doctor Webは多機能バックドア Android.Backdoor.916.origin を拡散する攻撃キャンペーンについて記事を公表しました。このマルウェアはAndroidユーザーをスパイし、機密情報を窃取する目的で使用されていました。脅威アクターはメッセンジャーを利用して被害者にメッセージを送信し、添付のAPKファイルから「アンチウイルス」（に偽装したバックドア）をインストールするよう誘導しています。Doctor Webのアンチウイルスラボではこのバックドアの最初の亜種を2025年1月に発見し、それ以来その進化を追い続けてきました。Android.Backdoor.916.origin はAndroidユーザー間での大量拡散を狙ったものではなく、標的型攻撃を目的に設計されたものであると考えられます。その主たる標的はロシア企業の従業員です。

Google Playでは第3四半期を通して多くの悪意のあるプログラムが拡散され、それらは合計で145万9000件以上インストールされていました。その中にはユーザーを有料サービスに登録する数十もの Android.Joker トロイの木馬や悪意のある偽アプリ Android.FakeApp が含まれています。そのほか、仮想報酬を現金化できるとうたうアプリの新たなものも発見されました。

2025年第3四半期の主な傾向

アドウェア型トロイの木馬 Android.MobiDash が最も多く検出された脅威となる
アドウェア型トロイの木馬 Android.HiddenAds の活動が引き続き減少
バンキング型トロイの木馬 Android.BankBot による攻撃件数が増加
バンキング型トロイの木馬 Android.Banker と Android.SpyMax の活動が減少
多機能バックドア Android.Backdoor.916.origin を用いた、ロシア企業の従業員に対する攻撃が確認される
Google Playで悪意のあるアプリを多数発見

Dr.Web Security Space for mobile devicesによる統計

Android.MobiDash.7859: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.Click.1812: さまざまなWebサイトをバックグラウンドで密かに読み込むことができる、悪意のあるWhatsAppメッセンジャーMod（改造版）の検出名です。
Android.HiddenAds.673.origin: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.Triada.5847: Android.Triada トロイの木馬を検出や解析から保護するよう設計されたパッカーの検出名です。多くの場合、これらトロイの木馬が埋め込まれた悪意のあるTelegramメッセンジャーMod（改造版）と一緒に用いられます。

Program.FakeMoney.11: さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために（多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます）、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.CloudInject.5
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（Tool.CloudInjectとしてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.LuckyPatcher.2.origin: Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。

Adware.AdPush.3.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Youmi.4: Androidデバイスのホーム画面に広告ショートカットを追加する、望ましくないアドウェアモジュールの検出名です。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。

Google Play上の脅威

2025年第3四半期、Doctor Webのアンチウイルスラボは50を超える Android.Joker トロイの木馬を検出しました。これはユーザーを有料サービスに登録するトロイの木馬ファミリーです。新たに発見された亜種はメッセンジャーや各種システムツール、画像編集アプリ、カメラアプリ、ドキュメント管理アプリなどのさまざまなアプリを装って拡散されていました。

Android.Joker.2412 が潜んだシステム最適化アプリ「Clean Boost」と、Android.Joker.2422 が隠されていたPDFドキュメント作成アプリ「Convert Text to PDF」

詐欺スキームに用いられる Android.FakeApp ファミリーに属する偽アプリも引き続き発見されています。これまで同様、その一部は参考書や教材、投資サービスにアクセスするためのソフトウェアなどといった金融関連アプリに偽装していました。また別の一部はゲームを装って拡散されています。このタイプの Android.FakeApp は特定の条件下でゲームとして機能する代わりにオンラインカジノやブックメーカーのサイトを開く場合があります。

金融アプリを装った Android.FakeApp トロイの木馬の例：金融リテラシーをテストするアプリに偽装した Android.FakeApp.1889 と、金融知識を向上させるアプリに偽装した Android.FakeApp.1890

そのほか、望ましくないアプリ Program.FakeMoney.16 も発見されました。Program.FakeMoney.16 は「Zeus Jackpot Mania」というアプリを装って拡散されており、このアプリでユーザーは仮想報酬を獲得し、現金化して引き出すことができるとうたっています。

Google Playで発見された Program.FakeMoney.16

現金を「引き出す」ためにユーザーはいくつか情報を提供するよう要求されます。最終的に被害者がお金を受け取ることはありません。

ユーザーに氏名と銀行口座情報を提供するよう求める Program.FakeMoney.16

お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向け Dr.Webアンチウイルス製品をインストールすることをお勧めします。

Indicators of compromise(侵害の痕跡)※英語

ロシア企業の従業員をスパイするAndroidバックドア

Fri, 22 Aug 2025 10:38:38 GMT

2025年8月22日

株式会社Doctor Web Pacific

本記事ではロシア企業を標的として広く拡散されている多機能バックドア Android.Backdoor.916.origin についてお知らせします。このマルウェアは攻撃者から受け取る数々のコマンドを実行することができ、スパイ活動とデータ窃取のための広範な機能を備えています。なかでも特に、会話を盗聴、デバイスのカメラからブロードキャスト、メッセンジャーやブラウザからコンテンツを窃取するほか、キーロガー機能を使用して入力テキスト(パスワードなど)を盗み取ります。

Android.Backdoor.916.origin の最初のバージョンは2025年1月に登場しています。その発見以来、Doctor Webのアンチウイルスラボではこのマルウェアの進化を追い続け複数のバージョンを検出してきました(それぞれのバージョンに関する詳細は該当する「侵害の痕跡」をご確認ください)。 Android.Backdoor.916.origin は不特定のAndroidユーザー間での大量拡散を狙ったものというよりも、むしろ標的型攻撃を目的に設計されている可能性が高いと考えられます。そしてその主たる標的はロシア企業の従業員です。

脅威アクターはメッセンジャーのダイレクトメッセージ(DM)を利用して、「GuardCB」という名のアンチウイルスに偽装したバックドアのAPKファイルを拡散しています。このアプリのアイコンは盾の形をしたロシア連邦中央銀行の紋章に似せたものとなっており、そのうえインターフェースの言語は1つ、すなわちロシア語のみとなっています。つまり、このマルウェアは完全にロシアのユーザーを標的に据えたものであると言えます。このことは、検出された別の亜種に「SECURITY_FSB」や「ФСБ (FSB)」などの名前が付いていたことによっても裏付けられています(「FSB」はロシア連邦保安庁の略称)。これらはロシアの法執行機関と関連があるとうたうセキュリティ関連のプログラムを装っていました。

被害者を欺くためのマルウェアのアイコン

実際には「GuardCB」にアンチウイルスとしての機能は一切搭載されていません。起動されると Android.Backdoor.916.origin はあたかもデバイスのアンチウイルススキャンを実行しているかのように見せかけます。脅威が「検出」される確率はあらかじめプログラムされており、前回の「スキャン」から時間があけばあくほど高くなります。ただし、30%を超えることはありません。「検出された脅威」の数は1～3個の間でランダムに決定されます。

Android.Backdoor.916.origin は初回起動時に多くのアクセス権限を要求します。

位置情報
音声録音
SMS、連絡先、通話履歴、メディアファイルへのアクセス、電話の発信許可
カメラ(写真撮影および動画録画)
バックグラウンドでの実行許可
デバイス管理者権限
アクセシビリティサービス(ユーザー補助機能)

要求される権限の例

次に、 Android.Backdoor.916.origin は自身のサービスをいくつか起動させ、そのアクティビティを1分おきにチェックして必要に応じて再起動させます。このバックドアはこれらのサービスを使用してC2サーバーに接続し、大量のコマンドを受け取ります。以下はそれらコマンドの例です。

受信および送信SMSをC2サーバーにアップロードする
連絡先リストをC2サーバーにアップロードする
通話履歴をC2サーバーにアップロードする
位置情報データをC2サーバーにアップロードする
デバイスのマイクからの音声ストリーミングを開始または停止する
デバイスのカメラからの動画ストリーミングを開始または停止する
デバイス画面のストリーミングを開始または停止する
メモリカードに保存されているすべての画像をC2サーバーにアップロードする
指定された名前の範囲に該当する画像をメモリカードからC2サーバーにアップロードする
指定された画像をメモリカードからC2サーバーにアップロードする
バックドアの自己保護機能を有効化または無効化する
受信したシェルコマンドを実行する
デバイスのネットワークとインターフェースに関する情報をC2サーバーにアップロードする

Android.Backdoor.916.origin は収集したデータを種類ごとにそれぞれ異なるC2サーバーポートにストリーミングします。

また、 Android.Backdoor.916.origin はアクセシビリティサービス(ユーザー補助機能)を使用してキーロガー機能を実行し、メッセンジャーやブラウザから内容を盗み取ります。このトロイの木馬が監視するのは以下のアプリです。

Telegram
Google Chrome
Gmail
Яндекс Старт (Yandex Start)
Яндекс Браузер (Yandex Browser)
WhatsApp

そのうえ、脅威アクターから該当するコマンドを受け取った場合は同サービスを使用して自らを削除から保護する機能も備えています。

Android.Backdoor.916.origin は多数のC2サーバーと連携して動作することができ、それらの情報はトロイの木馬の設定内に保存されています。さらにホスティングプロバイダを切り替えることも可能で、その数は15にも上ります。ただし、この機能は現時点では使用されていません。Doctor Webは確認された侵害についてドメインレジストラに報告を行いました。

Dr.Web Security Space for mobile devicesは Android.Backdoor.916.origin の既知の亜種をすべて確実に検出し、削除します。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Android.Backdoor.916.origin の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語

2025年第2四半期のモバイルマルウェアレビュー

Wed, 02 Jul 2025 02:00:00 GMT

2025年7月2日

株式会社Doctor Web Pacific

Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)によって収集された検出統計によると、2025年第2四半期にはアドウェア型トロイの木馬のさまざまなファミリーが引き続き最も多く検出されたマルウェアとなりました。中でも最も活発だったのは Android.HiddenAds ファミリーで、その検出数には8.62%の減少がみられたものの依然として首位をキープしています。2番目に多く検出されたのはアドウェア型トロイの木馬 Android.MobiDash で、検出数は11.17%増加しました。さまざまな詐欺スキームに用いられる悪意のあるプログラム Android.FakeApp が3位につけましたが、検出数は25.17%減少しています。

バンキング型トロイの木馬 Android.Banker の活動は前四半期と比較して73.15%増加しています。一方で、Android.BankBot は37.19%減、 Android.SpyMax は19.14%減となるなど、その他のバンキング型トロイの木馬ファミリーでは検出数に減少がみられました。

4月、Doctor WebはAndroidスマートフォンユーザーから仮想通貨(暗号資産)を盗む大規模な攻撃キャンペーンについて記事を公表しました。このキャンペーンでは、攻撃者はメッセージングアプリWhatsAppにトロイの木馬 Android.Clipper.31 を潜ませ、その改造版WhatsAppを低価格Androidスマートフォンモデルのファームウェアに組み込んでいました。 Android.Clipper.31 はWhatsAppチャット内の送受信メッセージを傍受してメッセージ内で仮想通貨TronまたはEtheriumのウォレットアドレス形式に一致する文字列を検出し、それらを攻撃者のアドレスに置き換えます。その際、ユーザーが置き換えに気づかないよう、感染したデバイスのメッセージ内にはユーザー自身の「正しい」ウォレットアドレスが表示されるようになっています。さらに、 Android.Clipper.31 はユーザーの仮想通貨ウォレットのニーモニックフレーズを見つけ出すために、.jpg、.png、.jpeg形式の画像をすべて攻撃者のサーバーに送信します。

同じく4月には、ロシアの軍関係者を標的とするスパイウェア型トロイの木馬も発見されました。このスパイウェア Android.Spy.1292.origin は地図アプリAlpineQuestの改変されたバージョンに隠され、脅威アクターによって作成された偽のTelegramチャンネルやロシアのAndroidアプリ配信サイトから拡散されていました。Android.Spy.1292.origin はユーザーのアカウントや携帯電話番号、電話帳の連絡先、感染したデバイスの位置情報、メモリ内に保存されているファイルに関する情報などを含む機密データを攻撃者に送信します。攻撃者からコマンドを受信した場合、トロイの木馬は指定されたファイルを盗むことができます。主に狙われているのはユーザーがポピュラーなメッセンジャー経由で送信する機密文書やAlpineQuestの位置情報ログファイルです。

Google Playでは第2四半期を通して新たな脅威が発見され、それらの中にはさまざまなトロイの木馬や広告を表示する望ましくないソフトウェアが含まれていました。

2025年第2四半期の主な傾向

アドウェア型トロイの木馬 Android.HiddenAds の活動が減少
アドウェア型トロイの木馬 Android.MobiDash の活動が活発化
バンキング型トロイの木馬 Android.Banker の検出数が前四半期比で増加
バンキング型トロイの木馬 Android.BankBot と Android.SpyMax による攻撃件数が減少
複数の低価格 Android スマートフォンモデルのファームウェア内で、仮想通貨を盗むよう設計されたトロイの木馬を発見
ロシアの軍関係者をスパイするトロイの木馬が拡散される
Google Playに新たな脅威が出現

Dr.Web Security Space for mobile devicesによる統計

Android.HiddenAds.657.origin
Android.HiddenAds.4214
Android.HiddenAds.4213: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。.
Android.MobiDash.7859: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。

Program.FakeMoney.11: さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために(多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます)、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Tool.NPMod.3
Tool.NPMod.1: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。
Tool.SilentInstaller.14.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod(改造版)です。このコードはメッセンジャーの動作中にWebコンテンツを表示(Android WebViewコンポーネントを使用して)させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.AdPush.3.origin: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。
Adware.Fictus.1.origin: net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。
Adware.Jiubang.1: Androidデバイス向けの望ましくないアドウェアで、アプリケーションのインストール時に特定のプログラムを宣伝するバナーを表示させます。

Google Play上の脅威

2025年第2四半期、Doctor WebのウイルスアナリストはGoogle Playで数十の脅威を発見しました。それらの中には Android.FakeApp ファミリーに属する偽アプリが含まれており、これまで同様その多くは金融関連アプリを装って活発に拡散されていました。これらの偽アプリは、うたわれた機能を実行する代わりに詐欺サイトを開きます。

発見されたトロイの木馬の例：トルコのユーザーを標的に「預金や収入を簡単に管理できる」とうたうアプリ「TPAO」に潜んだ Android.FakeApp.1863 と、フランス語圏のユーザーを標的にした金融アシスタントアプリ「Quantum MindPro」に偽装した Android.FakeApp.1859

ゲームに偽装するという手口も、Android.FakeApp 偽アプリの拡散手法として引き続き多く用いられています。この種の偽アプリは特定の条件下でゲームとして機能する代わりにオンラインカジノやブックメーカーのサイトを開きます。

オンラインカジノのサイトを開く場合のある偽ゲームの1つAndroid.FakeApp.1840 (「Pino Bounce」)

そのほか、仮想通貨に関する情報を提供するアプリ「Coin News Promax」に隠されていいた、広告を表示させる望ましくないソフトウェア Adware.Adpush.21912 も検出されています。 Adware.Adpush.21912 は通知を表示させ、その通知がクリックされるとC2サーバーによって指定されたリンクをWebView内で開きます。

Indicators of compromise(侵害の痕跡)※英語

地図アプリ「AlpineQuest」を使用するロシア軍関係者を標的としたAndroidスパイウェア型トロイの木馬

Tue, 22 Apr 2025 10:54:09 GMT

2025年4月22日

株式会社Doctor Web Pacific

Doctor Webのエキスパートは、ロシアの軍関係者を主な標的とするスパイウェアAndroid.Spy.1292.originを発見しました。このトロイの木馬は改変された地図アプリ「AlpineQuest」に隠されてさまざまな方法で拡散されており、ロシアのAndroidアプリ配信サイトもその拡散元の1つです。Android.Spy.1292.originは電話帳の連絡先やデバイスの位置などといった感染したデバイスに関する情報を攻撃者に送信します。さらに、デバイス上に保存されているファイルに関するデータを収集し、脅威アクターからコマンドを受け取った場合はファイルを盗むための機能を備えた追加のモジュールをダウンロードできます。

AlpineQuestはさまざまな地図をオンラインとオフラインのどちらでも利用できる地形図アプリで、アスリートや旅行者、ハンターの間で人気があります。一方で特別軍事作戦ゾーンのロシア軍関係者にも広く使用されており、この攻撃キャンペーンの実行者はそこに目を付け悪用しています。脅威アクターは Android.Spy.1292.origin をAlpineQuestアプリの古いバージョンに埋め込み、高度な機能を備えた「AlpineQuest Pro」の無料版として拡散していました。そのための手段としてTelegramに偽のチャンネルを作成し、トロイの木馬化されたアプリをロシアのAndroidアプリ配信サイトからダウンロードするためのリンクを提供しています。後に、この同じチャンネルからトロイの木馬化されたバージョンがAlpineQuest Proの「更新」を装って拡散されるようになりました。

脅威アクターがトロイの木馬 Android.Spy.1292.origin を拡散していたTelegramチャンネル

Android.Spy.1292.origin は正規アプリのコピーに埋め込まれているため見た目も動作も本物と変わるところがなく、ユーザーに気づかれずにより長期にわたって悪意のあるタスクを実行し続けることが可能です。

このトロイの木馬は起動されるたびに以下のデータを収集しC&Cサーバーに送信します。

ユーザーの携帯電話番号とアカウント
電話帳の連絡先
現在の日付
現在の位置情報
デバイスに保存されているファイルに関する情報
アプリのバージョン

同時に、情報の一部を攻撃者のTelegramボットにも送信します。たとえば、デバイスの位置が変わるたびに新しい位置情報がTelegramボットに送信されます。

デバイス上のファイルに関する情報を受け取った脅威アクターがその中にめぼしいファイルを見つけた場合、トロイの木馬にコマンドを送信して、ファイルを盗むための追加のモジュールをダウンロード・実行させることができます。Doctor Webのスペシャリストによる分析の結果からは、主に狙われているのはユーザーがTelegramやWhatsApp経由で送信する機密文書、そしてAlpineQuestによって作成される位置情報ログファイルlocLogであることが示されています

こうして、Android.Spy.1292.origin を使用することでユーザーの位置情報を追跡するだけでなく、機密ファイルを盗むことも可能になります。また、新しいモジュールをダウンロードすることで機能を拡張できるということは、ほかにもさまざまな悪意のあるタスクを実行させることが可能であるということを意味しています。

Doctor Webでは、Androidアプリは公式アプリストアなどの信頼できる提供元からのみインストールし、Telegramチャンネルや怪しいサイトからダウンロードしない(特に、本来有料版であるアプリが無料で提供されている場合など)ようにすることを推奨しています。また、攻撃者は似たような名前やロゴを使用して本物の開発者を装っていることが多いため、アプリを配信しているのが誰なのかを慎重に確認することも重要です。

Androidデバイスを保護するにはアンチウイルスの使用が不可欠です。Dr.Web Security Space for mobile devicesはトロイの木馬 Android.Spy.1292.origin を確実に検出・削除し、脅威からの強固な保護を提供します。

Indicators of compromise(侵害の痕跡) ※英語

Android.Spy.1292.origin の詳細 ※英語

チャットにご用心：安価なAndroidスマートフォンとWhatsAppと仮想通貨窃取の関係とは?

Wed, 16 Apr 2025 10:10:32 GMT

2025年4月16日

株式会社Doctor Web Pacific

仮想通貨(暗号資産)は、決済手段として年々広がりをみせています。2023年のデータによると、先進国では約20%の人が決済に仮想通貨を使用したことがあり、金融部門の発展が住民のニーズを満たせず銀行口座を持たない人の多い発展途上国では仮想通貨利用者の数はさらに多くなっています。国別の仮想通貨ユーザー数では、ロシアは上位10か国にランクインしています。決済の匿名性や取引の迅速性、送金手数料の低さ、そして地理的制約がなく世界中のどこからでもアクセス可能であるという点が一般ユーザーを惹きつける仮想通貨の主なメリットです。一方で詐欺師たちは、取引の不可逆性、規制の欠如、比較的新しい技術であるためユーザーに十分な知識がないという点に目を付けています。これらを悪用してさまざまな手口で違法に収益を得ることができるためです。

2024年6月を境に、新しく購入したAndroidスマートフォンにアンチウイルスDr.Web Security SpaceをインストールしたユーザーからDoctor Webのウイルスラボに多くの報告が寄せられるようになりました。システムパーティションのスキャンによって、メッセージングアプリWhatsAppに偽装した疑わしいアプリケーションが検出されたというものです。Doctor Webのアナリストによる調査の結果、このケースは単なる氷山の一角であることが明らかになりました。これらはすべて、クリッピングと呼ばれる手法を使用して仮想通貨を盗むキャンペーンのほんの一端にすぎなかったのです。

クリッピングとは、ユーザーがクリップボードにコピーしたデータを傍受またはすり替えることで情報を盗む手法です。多くの場合、クリッピングを行うマルウェアであるクリッパーはクリップボードを監視して仮想通貨ウォレットのアドレス形式を検知するよう設計されています。アドレスは通常25～42文字の文字列で、楽に入力するために「コピー」して「貼り付ける」(コピー&ペースト)機能を使用するユーザーがほとんどです。クリッパーはこれを悪用し、検知したすべての仮想通貨ウォレットアドレスを密かにサイバー犯罪者のウォレットアドレスに置き換えます。

クリッパーを仕込んだメッセージングアプリを使用して金融情報を盗む手法はハッカーたちにとって目新しいものではありません。そのようなキャンペーンの1つは2023年に始まっています。当時の攻撃者グループはYouTubeなどの正規のプラットフォームを利用して悪意のあるTelegramやWhatsAppアプリへのリンクを拡散していました。リンクは動画の説明欄に貼られており、主な標的は海外のメッセージングアプリにアクセスすることのできない中国のユーザーでした。そのようなユーザーはジオブロッキングを回避するためになんらかの手段を用いる必要があり、最も多く使用されていたのが非公式サイトからプログラムをダウンロードするという方法だったため、このキャンペーンは攻撃者にとって大きな成功となりました。

現在では攻撃者も新たなレベルへと進化を遂げ、中国の複数のAndroidスマートフォンメーカーのサプライチェーンにアクセスしています。Doctor Webのウイルスラボに報告があったケースで使用されていたのはそのようなスマートフォンで、偽アプリはスマートフォンにプリインストールされていたソフトウェア内で検出されています。すなわち、WhatsAppに悪意のあるコードが追加されていたのです。

侵害されたデバイスのほとんどは低価格帯のもので、有名ブランドのモデルとよく似た名前が付けられています(S23 Ultra、Note 13 Pro、P70 Ultraなど)。そのうえ、実際の技術仕様は製品ページに記載されているものと大きく異なっていました。そのために脅威アクターが使用していたのが、デバイスの「端末情報」ページに表示される内容のみでなく、AIDA64やCPU-Zなどといった定番アプリケーションのレポート内に表示されるすべての技術情報を簡単に偽装することのできるアプリケーションです。「端末情報」ページには最新のAndroid 14が搭載されていると記載されていましたが、実際にはすべてのデバイスにAndroid 12の同じビルドが搭載されていました。以下の表に記載されているモデルの3分の1はSHOWJIブランドのものです。残りのモデルについては、残念ながらメーカーを特定することはできませんでした。

SHOWJI S19 Pro	Note 30i	Camon 20
SHOWJI Note 13 Pro	S23 Ultra	P70 Ultra
SHOWJI X100S Pro	S18 Pro	M14 Ultra
SHOWJI Reno12 Pro	6 Pro	S24 Ultra

悪意のあるソフトウェアがプリインストールされていたスマートフォンのモデル(Doctor Webのユーザーが購入したもの)

不自然な誤ったロシア語(「高速のTastydragonなCPU」、「5000万台のカメラ」)で高性能をうたう製品説明

デバイスの技術仕様を偽装するために使用されていたアプリケーションのスクリーンショットとその偽装結果

「DevCheck」というアプリを使用することで、より正確にデバイスの仕様を確認することができます。たとえメーカーがユーザーを欺こうとしている場合であっても、このアプリケーションは高確率で製品の正しい仕様を特定してくれます。

トロイの木馬化されたWhatsAppアプリケーションを作成するために脅威アクターはLSPatchツールを使用しています。このフレームワークは、コードに手を加えるのではなく追加のソフトウェアモジュールをロードすることでメインアプリケーションの動作を変更することを可能にします。今回のケースでは、悪意のあるモジュールcom.whatsHook.apkがassetsフォルダ内に置かれていました。このモジュールは以下の機能を実行します。

アプリケーション更新のハイジャック：アプリケーションはhxxps://www.whatsapp[.]com/android/current/WhatsApp[.]apkで更新を確認する代わりに、攻撃者のサーバーの1つにアクセスするようになります(例：hххps://apk-download[.]pro/download/whatsapp[.]apk)。これにより、アプリケーションをトロイの木馬化されたままの状態に保ち、その動作に脅威アクターの望む変更を加えることができます。

正規の更新サーバーへのリクエストをハイジャックするメソッド

正規の更新アドレスを偽の更新アドレスに置き換えるクラス

送受信メッセージ内で仮想通貨Tron(Tで始まる34文字の文字列)およびEtherium(0xで始まる42文字の文字列)のウォレットアドレス形式に一致する文字列を検出し、それらを攻撃者のアドレスに置き換える：今回のケースではクリッパーの基本的な機能が拡張されており、ユーザーが異変に気づくことすらないようになっています。送信メッセージの場合、侵害されたデバイスではユーザー自身の正しいウォレットアドレスが表示され、メッセージの受信者には攻撃者のウォレットアドレスが表示されます。受信メッセージの場合、送信者には自分のウォレットアドレスが表示され、ユーザーのデバイスでは受信するアドレスが攻撃者のウォレットアドレスにすり替えられます。ウォレットアドレスは攻撃キャンペーンを繰り返すたびに変更されていますが、トロイの木馬にはなんらかの理由でC2サーバーとの接続を確立できなかった場合に使用できるバックアップアドレス(「TN7pfenJ1ePpjoPFaeu46pxjT9rhYDqW66」、「0x673dB7Ed16A13Aa137d39401a085892D5e1f0fCA」)も含まれています。また、トロイの木馬はWhatsAppチャット内のメッセージをすべて攻撃者のサーバーに送信します。

Tronウォレットアドレスに一致する文字列を検索するパーサー

Etheriumウォレットアドレスに一致する文字列を検索するパーサー

以下のフォルダ内にあるすべての.jpg、.png、.jpeg画像を検出し、攻撃者のサーバーに送信する：

DCIM	DOWNLOADS
PICTURES	DOCUMENTS
ALARMS	SCREENSHOTS

これは、仮想通貨ウォレットのいわゆるニーモニック(リカバリー)フレーズを見つけるために行われます。ニーモニックフレーズ(mnemonic phrases)は特定の順序で並んだ12～24文字の単語で、ウォレットの作成時に一度だけ表示されます。多くのユーザーはこれを書き留めたり別の媒体に保存したりするのではなく、単純にスクリーンショットを撮ることで済ませています。ユーザーがパスワードを忘れてしまった場合にこのフレーズを使用することでウォレットにアクセスできます。それがニーモニックフレーズの正規の目的ですが、裏を返せば、攻撃者がそのようなデータを入手することで仮想通貨ウォレットから即座にすべての資産を盗み出すことができるということでもあります。

仮想通貨ウォレットへのアクセスを復元するためのニーモニックフレーズの例。ユーザーはこれらの単語を数字の順番どおりに入力する必要がある。

デバイスに関する情報を送信する(デバイスのメーカー、モデル、言語設定、トロイの木馬化されたアプリケーションの名前)：合計で約40の異なるアプリケーションが改変されており、これには前述のWhatsAppやTelegramに加え、その他のメッセージングアプリやQRコードスキャナなどが含まれています。より重大なのは、広く使用されている仮想通貨ウォレットアプリ(Mathwallet、Trust Walletなど)も侵害されていたということです。

このトロイの木馬は、そのコード内に「Log.e("", "-------------------SHIBAI-释放------------")」という文字列を含んでいたことから「Shibai」という名前でDoctor Webウイルスデータベースに登録されています。この「Shibai」は仮想通貨の銘柄の1つからとられたものと考えられます。

残念ながら、この攻撃キャンペーンは大きく勢いを増しています。60台を超えるC2サーバーによって管理され、悪意のあるアプリケーションを拡散するためにおよそ30のドメインが使用されています。Doctor Webではこのトロイの木馬の作成者が得た金銭的利益に関する情報を入手することに成功しました。ウォレットの1つには過去2年間で100万ドル以上が入金されており、また別のウォレットには総額50万ドルが保有されています。残り約20のウォレットは合計で最大10 万ドルを保有していました。ウォレットアドレスは攻撃者のサーバーから取得したものであり、それらは常時変更される可能性があるため、このキャンペーン全体の収益を把握することは不可能です。

最も多く資産を保有していた仮想通貨ウォレットの1つ

このような攻撃から身を守るために、Doctor Webでは次のような対策を推奨しています：

モバイルデバイス用アンチウイルスDr.Web Security Space for mobile devicesをインストールする
価格と性能のバランスが明らかにおかしい(安価なのに高性能)スマートフォンを購入しない
Google PlayやRustore、AppGalleryなどの信頼できる提供元からのみアプリケーションをダウンロードする
ニーモニックフレーズやパスワード、キーのスクリーンショットを暗号化されていない状態でデバイスに保存しない

Tool.LSPatch.1 の詳細 ※英語

Android.Clipper.31 の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語

2025年第1四半期のモバイルマルウェアレビュー

Fri, 28 Mar 2025 10:51:58 GMT

2025年3月28日

株式会社Doctor Web Pacific

モバイルデバイス向けDr.Web Security Spaceによって収集された検出統計によると、2025年第1四半期には広告を表示させるトロイの木馬 Android.HiddenAds が引き続き最も多く検出されたAndroidマルウェアとなりました。その検出数は2024年第4四半期と比較して2倍以上に増加しています。2番目に多く検出されたAndroidマルウェアはサイバー犯罪者によってさまざまな詐欺スキームに用いられる Android.FakeApp で、検出数は8%近く増加しました。3位となったのは Android.MobiDash ファミリーに属するアドウェア型トロイの木馬で、検出数は5倍近く増加しています。

Android.BankBot および Android.Banker ファミリーに属するトロイの木馬による攻撃件数もそれぞれ20.68%と151.71%増加するなど、多くのバンキング型トロイの木馬でも同様の動向がみられました。一方、2024年を通して活動が活発化していったスパイウェア型トロイの木馬Android.SpyMaxの検出数は2024年第4四半期と比較して41.94%減少しています。

Google Playでは第1四半期を通して数十もの新たな脅威が発見されました。それらの中には仮想通貨を盗むマルウェアや迷惑な広告を表示するトロイの木馬のほか、これまでと変わらず多数の Android.FakeApp トロイの木馬が含まれていました。

2025年第1四半期の主な傾向

アドウェア型トロイの木馬の活動が増加
バンキング型トロイの木馬 Android.BankBot と Android.Banker による攻撃件数が増加
スパイウェア型トロイの木馬Android.SpyMaxの活動が減少
Google Playに新たな脅威が多数出現

モバイルデバイス向けDr.Web Security Spaceによる統計

Android.HiddenAds.657.origin
Android.HiddenAds.655.origin
Android.HiddenAds.4214: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.MobiDash.7859: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

Program.FakeMoney.11
Program.FakeMoney.14: さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために(多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます)、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Tool.NPMod.1: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。
Tool.SilentInstaller.14.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.LuckyPatcher.1.origin: Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod(改造版)です。このコードはメッセンジャーの動作中にWebコンテンツを表示(Android WebViewコンポーネントを使用して)させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。
Adware.AdPush.3.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Fictus.1.origin: net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。

Google Play上の脅威

2025年第1四半期、Doctor WebのウイルスラボはGoogle Play上で数十の悪意のあるプログラムを検出しました。その中には、感染させたデバイス上で自らの存在を隠し、他のアプリのウィンドウやOSインターフェースの上に重ねて広告を表示するトロイの木馬 Android.HiddenAds.4213 と Android.HiddenAds.4215 のさまざまな亜種が含まれていました。これらは、エフェクトをかけて写真や動画を撮影するアプリや画像編集アプリ、画像収集アプリ、女性のための健康管理アプリを装っていました。

アドウェア型トロイの木馬 Android.HiddenAds が潜んでいたアプリ「Time Shift Cam」と「Fusion Collage Editor」

また、仮想通貨を盗むよう設計された悪意のあるプログラム Android.CoinSteal.202、 Android.CoinSteal.203、 Android.CoinSteal.206 も発見されました。これらはブロックチェーンプラットフォームRaydiumやAerodrome Finance、仮想通貨取引所Dydxの公式アプリを装って拡散されていました。

「Raydium」と「Dydx Exchange」に偽装した、仮想通貨を盗むトロイの木馬

これら悪意のあるアプリは、起動されると仮想通貨ウォレットにアクセスするためと称してニーモニックフレーズ(シードフレーズ)を入力するようユーザーに求めます。実際には、入力されたデータは脅威アクターに送信されます。信憑性を高めるために、ニーモニックフレーズの入力フォームは別の仮想通貨プラットフォームからの要求を装っている場合もあります。下の画像では、 Android.CoinSteal.206 が仮想通貨取引所PancakeSwapを装ったフィッシングフォームを表示させています。

Android.FakeApp 偽アプリも引き続きGoogle Playから拡散されています。それらの多くは教材や、投資サービスにアクセスするためのツール、個人財務管理アプリなどの金融関連アプリに偽装していました。これらのアプリは、脅威アクターが個人情報を収集することを目的にしたものなど、さまざまなフィッシングサイトを開きます。

金融アプリを装って拡散されていた Android.FakeApp トロイの木馬アプリの例：「Умные Деньги(Smart Money)」は Android.FakeApp.1803、「Economic Union」は Android.FakeApp.1777

Android.FakeApp トロイの木馬ファミリーに属するまた別の偽アプリは、特定の条件下でブックメーカーやオンラインカジノのサイトを開きます。このタイプの亜種はさまざまなゲームや、タイピングトレーナー、描画チュートリアルなどのアプリを装って拡散されており、その中には Android.FakeApp.1669 の新たな亜種も含まれていました。

うたわれた機能を実行する代わりにオンラインカジノやブックメーカーのサイトを開く場合のある悪質な偽アプリの例

Indicators of compromise(侵害の痕跡)

2024年のモバイルマルウェアレビュー

Mon, 03 Feb 2025 12:06:38 GMT

2025年2月3日

株式会社Doctor Web Pacific

2024年には、広告を表示させるトロイの木馬が再び最も多く検出されたAndroid向け脅威となりました。詐欺アプリやランサムウェア型トロイの木馬、クリッカー、バンキング型トロイの木馬の活動は2023年と比較して増加しています。バンキング型トロイの木馬に関しては、インターネットバンキングアカウントにアクセスするためのデータとSMS内の確認コードのみを盗む単純な機能を持ったものが2023年と比べて増加しており、最も多く検出されています。

最も多く検出された望ましくないアプリケーションは、さまざまなタスクを完了することで仮想報酬を得ることができるとうたうアプリで、この報酬は現金化して引き出すことができるとされています。最も多く検出されたリスクウェアはAndroidアプリをインストールせずに実行できるようにするツールとなりました。最も多く検出されたアドウェアはWhatsAppメッセンジャーの改造版でした。この改造版の機能には広告URLをロードするコードが挿入されています。

Google Playでは2024年を通して何百もの新たな脅威が発見され、そのダウンロード数は合計で2,670万件を超えています。それらの中にはスパイウェア型トロイの木馬や望ましくないアプリ、アドウェアアプリなどの悪意のあるプログラムが含まれていました。

2024年には、Android TVボックスに対する新たな攻撃もDoctor Webのエキスパートによって発見されました。システムストレージ領域に自身のコンポーネントを置くバックドアが約130万台のデバイスを感染させていたというものです。このバックドアは攻撃者のコマンドに応じてサードパーティソフトウェアを密かにダウンロードしてインストールする機能を備えていました。

また、Androidマルウェアの分析を複雑化させ、アンチウイルスによる検出を回避するための手法の導入が増加していることがDoctor Webのウイルスアナリストによって明らかになりました。これらの手法は、ZIPアーカイブ形式(AndroidアプリのAPKファイルはZIP形式をベースにしています)やアプリの設定ファイル AndroidManifest.xml に手を加えるなどといったもので、多くの場合バンキング型トロイの木馬で使用されています。

2024年の主な傾向

広告を表示させるトロイの木馬が引き続き最も多く検出された脅威となる
バンキング型トロイの木馬の活動が増加
インターネットバンキングアカウントのログインデータとSMS内の確認コードのみを盗む単純なバンキング型トロイの木馬 Android.Banker が多く使用されるようになる
マルウェアの分析を困難にしアンチウイルスによる検出を回避するために、APKアプリの形式や設定ファイルに手を加える手法が多く用いられるようになる
ランサムウェア型トロイの木馬 Android.Locker とクリッカー型トロイの木馬 Android.Click の検出数が増加
Google Playに新たな脅威が多数出現

2024年の最も注目すべきイベント

2024年5月、Doctor Webはスマートセックストイを操作するためのアプリと身体活動を追跡するアプリに潜んだクリッカー型トロイの木馬 Android.Click.414.origin を発見しました。いずれのアプリもGoogle Playから配信されており、インストール数は合計で150万を超えていました。詳細な分析の結果、 Android.Click.414.origin はモジュラー型構造であることが明らかになりました。それらのモジュールがそれぞれ特定のタスクを実行し、密かに広告サイトを開いてWebページをスクロールしたり、フォームにテキストを入力したり、開いたサイトで音声をミュートにしたりすることができます。また、表示されているページのスクリーンショットを撮影してサーバーに送信し、ピクセル単位で分析してクリック可能な領域を特定する機能も備えています。そのほか、Android.Click.414.origin は感染したデバイスに関する詳細な情報をC&Cサーバーに送信します。一方で、特定のユーザーは Android.Click.414.origin の標的から外れており、インターフェース言語が中国語に設定されているデバイス上ではこのクリッカーは起動しません。

アプリ「Love Spouse」と「QRunning」の一部のバージョンにはトロイの木馬 Android.Click.414.origin が潜んでいた

9月、Doctor Webはバックドア Android.Vo1d がAndroid TVボックスを感染させた事例について詳細な分析結果を公表しました。このモジュール型マルウェアはステムストレージ領域に自身のコンポーネントを置き、脅威アクターのコマンドに応じてサードパーティソフトウェアを密かにダウンロードしてインストールすることができます。世界197か国で130万台のデバイスが Android.Vo1d に感染していました。

Android.Vo1d バックドアに感染したTVボックスの検出数が最も多かった国

11月、Doctor WebはDNSプロトコルを使用して密かにC&Cサーバーに接続するマルウェアの例として Android.FakeApp.1669 を取り上げ、記事を公開しました。 Android.FakeApp.1669 は目的のサイトを開くことのみを目的とした比較的原始的なトロイの木馬ですが、サイトのアドレスを悪意のあるDNSサーバーのTXTファイルから取得し、そのために改変されたdnsjavaライブラリを使用するという点で他の Android.FakeApp トロイの木馬と異なっています。また、Android.FakeApp.1669 は特定のプロバイダ経由でインターネットに接続している場合にのみその姿を現し、それ以外の場合は無害なアプリとして動作します。

Android.FakeApp.1669 の亜種の1つを分析中に、Linuxの「dig」ツール経由でのリクエストに対してDNSサーバーが返した、ターゲットドメインのTXTレコードの例

統計

Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)によって収集された検出統計によると、2024年に最も多く検出された脅威は悪意のあるプログラムで、検出された脅威全体の74.67%を占めました。次いでアドウェアが10.96%を占めて2位となり、リスクウェアが10.55%を占めて3位、望ましくないアプリが3.82%を占めて4位となっています。

以下のグラフは、脅威の内訳を種類別に表したものです。

悪意のあるプログラム

2024年に最も多く検出された悪意のあるAndroidアプリは引き続き Android.HiddenAds ファミリーに属するトロイの木馬となりました。マルウェアの検出数全体に占める割合は2023年と比べて0.34ポイント増加し、31.61%となっています。

Android.HiddenAds ファミリーの中で最も多く検出されたのは Android.HiddenAds.3956 (Android.HiddenAds ファミリー検出数全体の15.10%、マルウェア検出数全体の4.84%)でした。このトロイの木馬は数年にわたって拡散され続けている Android.HiddenAds.1994 の数ある亜種の1つで、その他の亜種と同時に2023年に出現したものです。Doctor Webでは、いずれ Android.HiddenAds.3956 がファミリー内で首位におどり出る可能性もあると予測していましたが、それが現実のものとなりました。2024年には Android.HiddenAds.3980、Android.HiddenAds.3989、 Android.HiddenAds.3994、Android.HiddenAds.655.origin、Android.HiddenAds.657.origin などの新たな亜種も多く拡散されました。

また、サブファミリーである Android.HiddenAds.Aegis も多く検出されるようになっています。他の Android.HiddenAds マルウェアと異なり、このファミリーに属するマルウェアは自動実行機能を含むその他複数の機能を備えています。最も多く検出された亜種は Android.HiddenAds.Aegis.1、 Android.HiddenAds.Aegis.4.origin、 Android.HiddenAds.Aegis.7.origin、Android.HiddenAds.Aegis.1.origin でした。

2番目に多く検出されたマルウェアは、サイバー犯罪者によってさまざまな詐欺スキームに用いられる Android.FakeApp ファミリーに属するトロイの木馬となりました。マルウェア検出数全体に占める割合は2023年比で16.45ポイント増の18.28%となっています。多くの場合、これらトロイの木馬はフィッシング攻撃やインターネット詐欺を目的とした不正なサイトを開きます。

スパイウェア機能を備えたトロイの木馬 Android.Spy が3番目に多く検出されたマルウェアとなり、マルウェア検出数全体に占める割合は2023年比16.7ポイント減の11.52%でした。Android.Spy の中で最も多く検出されたのは2023年同様Android.Spy.5106で、マルウェア検出数全体の5.95%を占めました。

別のアプリをダウンロードしてインストールするよう設計され、任意のコードを実行することのできるマルウェアの検出数には複雑な動きがみられました。ダウンローダ型トロイの木馬 Android.DownLoader のマルウェア検出数全体に占める割合は0.49ポイント減の1.69%となり、 Android.Mobifun は0.15ポイント減の0.10%、 Android.Xiny は0.14ポイント減の0.13%となりました。一方で、Android.Triada と Android.RemoteCode の検出数は増加し、それぞれ0.6ポイント増の2.74%、0.95ポイント増の3.78%となっています。

ソフトウェアパッカーによって保護されたマルウェア Android.Packed の占める割合は7.98%から5.49%に減少し、ほぼ2022年の数値まで戻りました。アドウェア型トロイの木馬 Android.MobiDash による攻撃も10.06%から5.38%に減少しています。一方でランサムウェア型トロイの木馬 Android.Locker の検出数は1.15%から1.60%、 Android.Proxy の検出数は0.57%から0.81%とわずかに増加しました。 Android.Proxy は感染させたAndroidデバイスを使用して攻撃者のネットワークトラフィックをリダイレクトさせるトロイの木馬です。また、広告サイトを開いてページ上で勝手にクリックするマルウェア Android.Click の活動は0.82%から3.56%と大幅に増加しています。

以下のグラフは2024年に最も多く検出された上位10のマルウェアです。

Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.Spy.5106: WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Android.HiddenAds.3956
Android.HiddenAds.3851
Android.HiddenAds.655.origin
Android.HiddenAds.3994
Android.HiddenAds.657.origin: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自らの存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.Click.1751: サードパーティによるWhatsAppメッセンジャーのMod(改造版)に組み込まれ、Googleのライブラリクラスに偽装したトロイの木馬です。ホストアプリケーションが使用されている間にC&Cサーバーの1つに接続し、そこから2つのURLを受け取ります。1つはロシア語圏のユーザーを対象としたもので、もう1つはそれ以外のユーザーを対象としています。次に、同じくリモートサーバーから受け取った内容のダイアログボックスを表示させ、ユーザーが確認ボタンをクリックすると該当するリンクをブラウザで開きます。
Android.HiddenAds.Aegis.1: Androidデバイス上で自身の存在を隠し、迷惑な広告を表示させるトロイの木馬アプリです。インストール後に自動起動することができ、自身のサービスが常に実行されているようにするメカニズムを備えています。また、Android OSの隠し機能を使用する場合もあります。これらの点において、Android.HiddenAds ファミリーに属する他のトロイの木馬と異なっています。
Android.MobiDash.7815: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

望ましくないアプリケーション

2024年に最も多く検出された望ましくないアプリケーションは、さまざまなタスクを完了することでお金を稼ぐことができるとうたうアプリのファミリーに属する Program.FakeMoney.11 でした。実際にはユーザーが報酬を手にすることはありません。この Program.FakeMoney.11 は望ましくないアプリケーション検出数全体の52.10%と、約半分を占めていました。

Dr.Webアンチウイルス製品によって Program.CloudInject.1 として検出されるアプリケーションが19.21%(2023年比9.75ポイント増)を占めて2位につけました。これらはクラウドサービスCloudInjectを使用して改造されたアプリケーションです。改造過程で危険な権限や難読化されたコードが追加され、ユーザーはそのコードの目的をコントロールすることができません。

Program.FakeAntiVirus.1 の活動は2年続けて減少し、2023年比9.35ポイント減の10.07%を占めて3位となりました。このプログラムはアンチウイルスの動作を模倣して存在しない脅威の検出を通知し、検出された問題を「修復」するために製品の完全版を購入するよう促します。

2024年を通して、アクティビティを監視したりコントロールしたりするためのさまざまなアプリケーションが検出されました。これらのアプリケーションはユーザーの同意を得たうえでデータを収集することも密かに収集することも可能で、後者の目的で使用された場合は実質スパイウェアとなります。この種のアプリケーションで最も多く検出されたのは Program.TrackView.1.origin (2.40%)、Program.SecretVideoRecorder.1.origin (2.03%)、 Program.wSpy.3.origin (0.98%)、Program.SecretVideoRecorder.2.origin (0.90%)、 Program.Reptilicus.8.origin (0.64%)、Program.wSpy.1.origin (0.39%)、Program.MonitorMinor.11 (0.38%)となっています。

また、指定されたサイトを開いて広告を表示するアプリ Program.Opensite.2.origin が、望ましくないアプリケーション検出数全体の0.60%を占めました。

以下のグラフは2024年に最も多く検出された上位10の望ましくないアプリケーションです。

Program.FakeMoney.11
Program.FakeMoney.7: さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために(多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます)、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にしたり、アプリのアイコンと表示名を偽のものに置き換えたりすることができ、密かに動作することが可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。
Program.wSpy.3.origin: Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。
Program.Reptilicus.8.origin: Androidユーザーを監視できるようにするアプリケーションです。デバイスの位置情報を追跡する、SMSやソーシャルメディアのメッセージから情報を収集する、通話を傍受して周囲の音声を録音する、スクリーンショットを撮る、キーロガーとして機能する、デバイス上のファイルをコピーするなどの動作を実行することができます。
Program.Opensite.2.origin: 指定されたサイトを開いて広告を表示させる機能を持つAndroidプログラムの検出名です。このようなアプリは多くの場合、他のソフトウェアを装っています。YouTube動画プレーヤーを装って拡散されている亜種は、本物のYouTubeサイトを開き、接続されている広告SDKを使用して広告バナーを表示させます。

リスクウェア

2024年に多く検出されたリスクウェアでは、Androidアプリをインストールせずに実行できるようにするユーティリティ Tool.SilentInstaller が再び首位の座をキープしました。その検出数はリスクウェア全体の3分の1以上を占めています。最も多く検出された亜種は Tool.SilentInstaller.17.origin (16.17%)、 Tool.SilentInstaller.14.origin (9.80%)、 Tool.SilentInstaller.7.origin (3.25%)、 Tool.SilentInstaller.6.origin (2.99%)となっています。

NP Managerユーティリティを使用して改造されたアプリケーションも多く検出されました。このユーティリティは特殊なモジュールをアプリに埋め込み、改造されたアプリがデジタル署名の検証をバイパスすることを可能にします。Dr.Webアンチウイルス製品は改造されたそのようなアプリを Tool.NPMod ファミリーの亜種として検出します。最も多く検出された亜種は Tool.NPMod.1 で、2024年を通して大幅に検出数を伸ばしリスクウェア検出数全体の16.49%を占めました。これは2023年比で11.68ポイント増となります。また別の亜種である Tool.NPMod.2 は7.92%を占めました。合計で、Tool.NPMod ファミリーがリスクウェア検出数全体の4分の1近くを占めることになります。

Tool.Packer.1.origin パッカーによって保護されたアプリも検出数の上位に入っています。これらは2023年比12.38ポイント増となる13.17%を占めました。Tool.Androlua.1.origin の検出数も3.10%から3.93%と増加しています。これはAndroidアプリの改変や、悪意のあるものとなりうるLuaスクリプトの実行を可能にするフレームワークです。

一方、2023年に上位を占めていた Tool.LuckyPatcher fファミリーに属するツールは14.02%から8.16%に減少しました。このツールを使用することで、 Androidアプリケーションを改変したり、インターネットからダウンロードした特別なスクリプトを追加したりすることができます。難読化ツール Tool.Obfuscapk とパッカー Tool.ApkProtector によって保護されたアプリの検出数も、それぞれ3.22%から1.05%、10.14%から3.39%に減少しています。

以下のグラフは2024年に最も多く検出された上位10のリスクウェアです。

Tool.NPMod.1
Tool.NPMod.2: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。
Tool.LuckyPatcher.1.origin: Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。
Tool.Packer.3.origin: NP Managerツールを使用してコードが暗号化および難読化されているAndroidプログラムの検出名です。

アドウェア

2024年に最も多く検出されたアドウェアは新たな Adware.ModAd ファミリーで、アドウェア検出数全体の47.45%を占めました。2023年に首位に立っていた Adware.Adpush ファミリーは14.76%(21.06ポイント減)を占めて2位に後退しています。8.68%を占めて3位となったのは、また別の新たなアドウェアファミリー Adware.Basement でした。

そのほか、Adware.Airpush (8.59%から4.35%に減少)、Adware.Fictus (4.41%から3.29%に減少)、 Adware.Leadbolt (4.37%から2.26%に減少)、Adware.ShareInstall (5.04%から1.71%に減少)ファミリーに属するアドウェアも多く検出されています。2023年に2位を占めていたアドウェア Adware.MagicPush の活動は大幅に減少し、上位10にとどまることすらなく、アドウェア検出数全体のわずか1.19%(8.39ポイント減)を占めて11位に転落しました。

以下のグラフは2024年に最も多く検出された上位10のアドウェアです。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod(改造版)です。このコードはメッセンジャーの動作中にWebコンテンツを表示(Android WebViewコンポーネントを使用して)させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。
Adware.Fictus.1
Adware.Fictus.1.origin: net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。
Adware.Adpush.21846
Adware.AdPush.39.origin: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのファミリーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告を含んだ通知を表示します。
Adware.Youmi.4: Androidデバイスのホーム画面に広告ショートカットを追加する、望ましくないアドウェアモジュールの検出名です。
Adware.Inmobi.1: InmobiのアドウェアSDKの一部バージョンの検出名です。電話をかけたり、Android デバイスのカレンダーにイベントを追加したりできます。

Google Play上の脅威

2024年、Doctor WebのウイルスアナリストはGoogle Playで200を超える脅威を発見しました。これらは合計で2,670万件以上ダウンロードされています。それら脅威の中には前出の Android.Click.414.origin のほか、広告を表示させるトロイの木馬 Android.HiddenAds が含まれていました。このトロイの木馬は写真編集アプリやQRコードスキャナ、画像集アプリ、さらにはスマートフォンを悪用から守る「アンチセフト(盗難防止)」アラームなど、あらゆる種類のアプリを装って拡散されていました。 Android.HiddenAds はインストールされると自らのアイコンを隠し、OSや他のプログラムのインターフェース上に重ねて迷惑な広告を表示させ、デバイスの使用を妨げます。

2024年にGoogle Playで発見されたアドウェア型トロイの木馬の例: Android.HiddenAds.4013 は写真編集アプリ「Cool Fix Photo Enhancer」に潜み、 Android.HiddenAds.4034 は画像集アプリ「Cool Darkness Wallpaper」、Android.HiddenAds.4025 はQRコード読み取りアプリ「QR Code Assistant」、 Android.HiddenAds.656.origin は「アンチセフト」アラームアプリ「Warning Sound GBD」に隠されていた

高度なソフトウェアパッカーで保護されたトロイの木馬も発見されています。

アプリ「Lie Detector Fun Prank」と「Speaker Dust and Water Cleaner」はソフトウェアパッカーで保護されたトロイの木馬 Android.Packed.57156 と Android.Packed.57159 だった

さまざまな詐欺スキームに用いられる Android.FakeApp ファミリーに属するトロイの木馬も発見されました。これらトロイの木馬の多くは特定のWebサイトを開くことを主な目的としていますが、中には一定の条件下で実際にアプリとしてうたわれた機能を実行するものもあります。2024年に発見された Android.FakeApp トロイの木馬の多くは金融関連アプリ(教材やチュートリアル、利益計算アプリ、トレーディングにアクセスするためのアプリ、家計簿アプリなど)、メモ帳や日記帳、クイズゲームやアンケートに参加するためのアプリなどといったさまざまなアプリを装って拡散されていました。これらのアプリは詐欺投資サイトを開きます。

詐欺サイトへのリンクを開く Android.FakeApp トロイの木馬の例:アプリ「SenseStrategy」に偽装した Android.FakeApp.1681 、アプリ「QuntFinanzas」に偽装した Android.FakeApp.1708

また別の Android.FakeApp トロイの木馬は、さまざまなゲームを装って拡散されていました。これら偽アプリの多くは実際にゲームとして動作する機能も備えていましたが、主なタスクはオンラインカジノやブックメーカーのサイトを開くことでした。

ゲームを装いオンラインカジノやブックメーカーのサイトを開く Android.FakeApp トロイの木馬の例: Android.FakeApp.1622 (「3D Card Merge Game」)、Android.FakeApp.1630 (「Crazy Lucky Candy」)

求人検索アプリを装った Android.FakeApp トロイの木馬も引き続き発見されています。これらの偽アプリは架空の求人情報が掲載された詐欺サイトを開き、個人情報を入力して履歴書を作成するようユーザーに勧めます。また、メッセンジャーを使用して「雇用主(実際には詐欺師)」に連絡するよう指示するケースもあります。詐欺師は連絡してきたユーザーをさまざまな詐欺スキームに引き込もうと狙っています。

求人検索アプリを装った Android.FakeApp トロイの木馬の例: Android.FakeApp.1627 (「Aimer」)、 Android.FakeApp.1703 (「FreeEarn」)

ユーザーを有料サービスに登録するトロイの木馬もGoogle Playで発見されています。そのうちの1つである Android.Subscription.22 は写真編集アプリ「InstaPhoto Editor」を装って拡散されていました。

ユーザーを有料サービスに登録するよう設計されたトロイの木馬 Android.Subscription.22

モジュラー構造を持つ Android.Joker と Android.Harly ファミリーも、ユーザーを有料サービスに登録するまた別のトロイの木馬です。Android.Joker は追加のコンポーネントをインターネットからダウンロードすることができますが、Android.Harly は必要なモジュールを暗号化してファイルリソースに保存することが多いという点で異なっています。

ユーザーを有料サービスに登録するアプリの例: Android.Joker.2280 は星占いアプリ「My Horoscope」に、Android.Harly.87 はゲーム「BlockBuster」に潜んでいた

マルウェアに加えて、Program.FakeMoney.11 や Program.FakeMoney.14 のさまざまな亜種など、望ましくないアプリも新たなものがGoogle Play上で発見されました。これらは、さまざまなタスク(多くの場合、広告の視聴)を完了することで仮想報酬を稼ぐことができるとうたうファミリーに属するトロイの木馬です。報酬は現金や賞品に交換することができるとされていますが、「稼いだ」報酬を引き出すには一定の金額を貯める必要があります。たとえその金額が貯まったとしても結局ユーザーが実際にお金を受け取ることはありません。

Program.FakeMoney.11 の亜種の1つはゲーム「Copper Boom」を装い、Program.FakeMoney.14 はゲーム「Merge Party」を装って拡散されていた

2024年を通して、新たなアドウェアも発見されています。それらの中には、さまざまな広告サービスプロバイダの広告を表示するアドウェアモジュール Adware.StrawAd が組み込まれたアプリやゲームがありました。

アドウェアモジュール Adware.StrawAd: が組み込まれたゲームの例:「Crazy Sandwich Runner」( vir>Adware.StrawAd.1 )、「Poppy Punch Playtime」( Adware.StrawAd.3 )、「Finger Heart Matching」( Adware.StrawAd.6 )、「Toimon Battle Playground」( Adware.StrawAd.9 )

アドウェア Adware.Basement もGoogle Playから拡散されていました。多くの場合、Program.FakeMoney.11 によって表示される広告は悪意のある詐欺サイトにつながっています。このファミリーには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されているという点は特筆に値します。

望ましくないアドウェア Adware.Basement を含んだアプリの例:「Lie Detector: Lie Prank Test」、「TapAlarm:Don't touch my phone」、「Magic Voice Changer」(すべて Adware.Basement.1 )、「Auto Clicker:Tap Auto」( Adware.Basement.2 )

バンキング型トロイの木馬

モバイルデバイス向けDr.Web Security Spaceによって収集された検出統計によると、2024年に検出されたバンキング型トロイの木馬のマルウェア検出数全体に占める割合は2023年比2.71ポイント増の6.29%となりました。その活動は1月以降着実に減少しましたが、春中頃から再び増加に転じています。第3四半期を通じてほぼ横ばいで推移した後、再び増加を始めて11月にピークに達しました。12月にはすでに顕著な減少が確認されています。

2024年にも、よく知られたバンキング型トロイの木馬のファミリーが再び広く拡散されました。 Coper、 Hydra(Android.BankBot.1048.origin、Android.BankBot.563.origin )、 Ermac(Android.BankBot.1015.origin、Android.BankBot.15017 )、 Alien(Android.BankBot.745.origin、Android.BankBot.1078.origin )、 Anubis( Android.BankBot.670.origin )、 Cerberus ( Android.BankBot.11404 )、 GodFather( Android.BankBot.GodFather.3、Android.BankBot.GodFather.14.origin )Zanubis( Android.BankBot.Zanubis.7.origin )などのバンキング型トロイの木馬ファミリーによる攻撃が確認されています。

2024年を通じて、多彩な悪意のある機能を備えたスパイウェア型トロイの木馬 Android.SpyMax が盛んに拡散されました。これらトロイの木馬はバンキング型トロイの木馬としても広く用いられています。元々このファミリーに含まれていたのは多機能RAT(リモートアクセス型トロイの木馬)であるSpyNoteでしたが、ソースコードが流出した後、それをベースにしたCraxsRATやG700 RATなどの新たな亜種が多数登場し始めました。Dr.Web Security Spaceの検出統計によると、このファミリーに属するトロイの木馬の活動は2023年の後半から活発化し始め、その検出数はほぼ毎月増加し続けています。この傾向は現在も続いています

Android.SpyMax は世界中のユーザーを標的としています。2024年には、ロシアのユーザーに対する攻撃が多くみられ、 Android.SpyMax の46.23%がロシアユーザーのデバイスで検出されたものでした。そのほか、ブラジル(35.46%)とトルコ(5.80%)のAndroidユーザーに対しても活発に拡散されています。

ここで注目したいのは、ロシアにおける Android.SpyMax の拡散がスパムや従来のフィッシングを通じて行われているのではなく、電話詐欺から始まっているという点です。まず脅威アクターは銀行員や警察官を装ってユーザーに電話をかけ、問題が発生している(口座からお金が盗まれそうになっている、または想定外のローンがあるなど)と告げたり、あるいは逆に政府から特別支援金を受け取ることができるという「朗報」を伝えたりします。相手が信じ込んでいるのを見てとるや、「安全な取引」のためなどと称して「アンチウイルスのアップデート」や「バンキングアプリ」をインストールするよう勧めます。実際には、これらのアプリが Android.SpyMax トロイの木馬です。

ロシアのユーザーはバンキング型トロイの木馬Falconファミリー( Android.BankBot.988.origin、Android.Banker.5703 )とMamontファミリー( Android.Banker.637.origin、 Android.Banker.712.origin )による攻撃も受けました。また、バンキング型トロイの木馬 Android.Banker.791.origin と Android.Banker.829.origin はロシアとウズベキスタンのユーザーを標的とし、 Android.Banker.802.origin がロシア、アゼルバイジャン、ウズベキスタンのユーザーを、 Android.Banker.757.origin がロシア、ウズベキスタン、タジキスタン、カザフスタンのユーザーを襲いました。

東南アジアやアジア太平洋地域を含む多くの国のユーザーを標的とするMoqHaoファミリー( Android.Banker.367.origin、Android.Banker.430.origin、 Android.Banker.470.origin、 Android.Banker.593.origin )による攻撃も引き続き確認され、韓国のユーザーはFakecalls( Android.BankBot.919.origin、Android.BankBot.14423、Android.Banker.5297 )、 IOBot( Android.BankBot.IOBot.1.origin)、Wroba( Android.Banker.360.origin)による攻撃も受けました。 Wrobaの別の亜種( Android.BankBot.907.origin、Android.BankBot.1128.origin )は日本のユーザーも襲っています。

中国のユーザーは Android.Banker.480.origin などのバンキング型トロイの木馬の標的となり、ベトナムのユーザーは Android.BankBot.1111.originの攻撃を受けました。TgToxic( Android.BankBot.TgToxic.1 )はインドネシア、タイ、台湾のユーザーを襲い、 GoldDigger( Android.BankBot.GoldDigger.3 )はタイとベトナムのユーザーを攻撃しました。

イランのユーザーを標的としたバンキング型トロイの木馬( Android.Banker.709.origin、Android.Banker.5292、 Android.Banker.777.origin、Android.BankBot.1106.origin など)も再び拡散され、トルコのユーザーはTambir( Android.BankBot.1104.origin、 Android.BankBot.1099.origin、 Android.BankBot.1117.origin )などの標的となりました。

Android.Banker.797.origin、Android.Banker.817.origin、 Android.Banker.5435 などのバンキング型トロイの木馬はインドのユーザーを標的とし、Airtel Payments Bank(エアテル・ペイメンツ・バンク)、PM KISAN(プラダン・マントリ・キサン・サンマン・ニディ)、 IndusInd Bank(インダスインド銀行)などの金融機関と関連があるアプリを装っていました。 Rewardstealファミリーに属するバンキング型トロイの木馬( Android.Banker.719.origin、Android.Banker.5147、Android.Banker.5443 )も未だ活発で、同じくインドのAxis bank(アクシス銀行)、 HDFC Bank(HDFC銀行)、SBI、ICICI Bank(ICICI銀行)、RBL bank(RBL銀行)、Citi bank(シティバンク)などの銀行利用者が主な標的となりました。

ラテンアメリカ諸国ではブラジルの銀行利用者を標的としたバンキング型トロイの木馬PixPirate( Android.BankBot.1026.origin )が引き続き確認されています。

欧州のユーザーを狙ったバンキング型トロイの木馬にはAnatsa( Android.BankBot.Anatsa.1.origin )とCopybara( Android.BankBot.15140、 Android.BankBot.1100.origin )があり、後者は主にイタリア、英国、スペインのユーザーを標的としていました。

2024年には、Androidマルウェア、なかでも特にバンキング型トロイの木馬を分析や検出から保護するための特定の方法が広く用いられるようになっていることが、 Doctor Webのウイルスアナリストによって確認されました。とりわけ攻撃者の人気を集めているのが、Android のAPKがベースにしているZIP形式に手を加える手口です。その結果、標準アルゴリズムを使用してZIPアーカイブを扱う多くの静的解析ツールは、そのような「破損した」ファイルを正しく処理することができなくなります。そのうえ、 Android OSは改変されたそのようなトロイの木馬を通常のアプリケーションとして認識し、それらのインストールと実行を許可してしまいます。

最も多く使用されている手法の1つがAPKファイルのローカルファイルヘッダ内のフィールド compression method と compressed size を改変するというものです。脅威アクターは compressed size と uncompressed size フィールドにわざと間違った値を指定したり、 compression method フィールドに正しくない圧縮方法や存在しない圧縮方法を書き込んだりしています。あるいは、アーカイブに対して圧縮なしの方法を指定する場合もあります。これにより、一致するはずの compressed size と uncompressed size ヘッダーフィールドが一致しなくなります。

もう1つのよく見られる手法は、ECDR(End of Central Directory Record:中央ディレクトリの終わりレコード)とCD(ファイルやアーカイブパラメータに関するデータが格納される中央ディレクトリ)内のディスクに関する情報を誤ったものにするというものです。単一のアーカイブの場合、これらのパラメータは一致します。サイバー犯罪者はこれらに異なる値を指定することで、単一アーカイブを複数のアーカイブであるかのように見せかけます。

さらに、アーカイブ内にあるファイルのローカルファイルヘッダに、それらが暗号化されていることを示すフラグをセットするという手法も広く使用されています。実際にはファイルは暗号化されていませんが、この操作の結果アーカイブが正しく解析されなくなります。

APKの構造に手を加えるのでみなく、Androidアプリの AndroidManifest.xml 設定ファイルを改ざんするなどといった別の手口も確認されています。攻撃者はこのファイルの属性構造にガベージバイト b'\x00' を追加することで、ファイルが正しく読み取られないようにしていました。

今後の動向と展望

2024年にも、サイバー犯罪者は依然としてAndroidユーザーを犠牲にして収益を得ることに精を出していました。そのツールとして主に使用されているのは、これまで同様、広告を表示させるトロイの木馬やバンキング型トロイの木馬、スパイウェア機能を備えた悪意のあるアプリ、詐欺アプリです。したがって、2025年にもこの種の新たな脅威が出現するものと考えられます。

Google Playではセキュリティを強化するための措置が講じられているものの、依然としてAndroid脅威の拡散源の1つとなっています。今後もGoogle Play上に新たな悪意のあるアプリや望ましくないアプリが出現する可能性は否定できません。

2024年にはAndroid TVボックスの新たな感染事例も確認され、サイバー犯罪者の使用する攻撃ベクター(攻撃ベクトル)の多様化が示されました。犯罪者は引き続きAndroid TVボックスに狙いを定める一方で、さまざまなAndroidガジェットの中から新たな攻撃対象となりうるものを見つけようと模索し続けるでしょう。

2025年にも、マルウェア開発者は悪意のあるプログラムの解析や検出を回避するための新たな技術を引き続き積極的に組み込んでくるものと予想されます。

Doctor Webではモバイルデバイスを狙うサイバー脅威の進化と状況を監視し続け、ユーザーに対する確実な保護を提供してまいります。セキュリティを強化するため、Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)をインストールすることをお勧めします。これにより、悪意のあるプログラムや望ましくないプログラム、危険なプログラム、そして詐欺やその他のあらゆる脅威に対抗することができます。

Indicators of compromise(侵害の痕跡)※英語

2024年第4四半期のモバイルマルウェアレビュー

Fri, 27 Dec 2024 10:38:21 GMT

2024年12月27日

株式会社Doctor Web Pacific

モバイルデバイス向けDr.Web Security Spaceによって収集された検出統計によると、2024年第4四半期に最も多く検出された脅威は広告を表示させるトロイの木馬 Android.HiddenAds でした。詐欺スキームに用いられるトロイの木馬 Android.FakeApp が2番目に多く検出された脅威となり、さまざまな悪意のあるタスクを実行する機能を備えたトロイの木馬Android.Siggenファミリーが3番目に続いています。

Google Playでは第4四半期を通して多くの脅威が発見されました。それらの中には Android.FakeApp トロイの木馬が多数含まれていたほか、ユーザーを有料サービスに登録させる Android.Subscription ファミリーと Android.Joker ファミリーに属するトロイの木馬もみられました。また、アドウェア型トロイの木馬 Android.HiddenAds の新たな亜種も検出され、高度なソフトウェアパッカーで保護された悪意のあるアプリも拡散されました。

2024年第4四半期の主な傾向

アドウェア型トロイの木馬 Android.HiddenAds と偽アプリ Android.FakeApp の活動が活発
Google Playから悪意のあるアプリが多数拡散される

モバイルデバイス向けDr.Web Security Spaceによる統計

Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.HiddenAds.655.origin
Android.HiddenAds.657.origin: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.Packed.57083: ApkProtectorパッカーによって保護された悪意のあるアプリの検出名です。バンキング型トロイの木馬やスパイウェア、その他の悪意のあるソフトウェアが含まれます。
Android.Click.1751: サードパーティによるWhatsAppメッセンジャーのMod（改造版）に組み込まれ、Googleのライブラリクラスに偽装したトロイの木馬です。ホストアプリケーションが使用されている間にC&Cサーバーの1つに接続し、そこから2つのURLを受け取ります。1つはロシア語圏のユーザーを対象としたもので、もう1つはそれ以外のユーザーを対象としています。次に、同じくリモートサーバーから受け取った内容のダイアログボックスを表示させ、ユーザーが確認ボタンをクリックすると該当するリンクをブラウザで開きます。

Program.FakeMoney.11: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（ Tool.CloudInject としてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Tool.NPMod.1: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.SilentInstaller.14.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.LuckyPatcher.1.origin: Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには Program.FakeMoney.11 と同じコードベースが使用されています。
Adware.Fictus.1.origin: net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。
Adware.AdPush.3.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。

Google Play上の脅威

2024年第4四半期には、Doctor WebのマルウェアアナリストによってGoogle Play上で60を超える悪意のあるアプリが発見されました。それらの多くは Android.FakeApp ファミリーに属するトロイの木馬で、その一部は金融関連アプリ、教材やテキスト、そして日記帳やメモ帳などのソフトウェアを装って拡散されていました。これら偽アプリの主な目的は詐欺サイトを開くことです。

Android.FakeAppファミリーに属する他の多くのトロイの木馬と同様に詐欺サイトを開くアプリ「QuntFinanzas」と「Trading News」

また別の Android.FakeApp トロイの木馬はゲームを装って拡散されていました。これらトロイの木馬はオンラインカジノやブックメーカーのサイトを開く場合があります。

トロイの木馬の機能が組み込まれたゲームの例：「Bowl Water」と「Playful Petal Pursuit」

同じくさまざまなアプリに潜んでオンラインカジノのサイトを開くことができるトロイの木馬 Android.FakeApp.1669 の新たな亜種も発見されています。この Android.FakeApp.1669 は、表示させるサイトのアドレスを悪意のあるDNSサーバーのTXTファイルから取得するという点で興味をひくものとなっています。また、このトロイの木馬は特定のプロバイダ経由でインターネットに接続している場合にのみその姿を現します。

トロイの木馬 Android.FakeApp.1669 の新たな亜種の例：テキストツールに偽装したアプリ「WordCount」、カフェやレストランでの料金の支払いやチップの計算を手助けするアプリを装った「Split it: Checks and Tips」

アドウェア型トロイの木馬 Android.HiddenAds に属する新たな亜種もGoogle Play上で複数発見されました。これらトロイの木馬は感染したデバイス上で自らの存在を隠します。

写真編集ソフトウェア「Cool Fix Photo Enhancer」には広告を表示させるトロイの木馬Android.HiddenAds.4013が潜んでいた

また、高度なソフトウェアパッカーで保護されたトロイの木馬（ Android.Packed.57156、 Android.Packed.57157、 Android.Packed.57159 など）も発見されています。

アプリ「Lie Detector Fun Prank」と「Speaker Dust and Water Cleaner」はソフトウェアパッカーで保護されたトロイの木馬だった

ユーザーを有料サービスに登録するよう設計されたマルウェア Android.Subscription.22 も検出されました。

写真を編集する代わりにユーザーを有料サービスに登録する「InstaPhoto Editor」

そのほか、同じくユーザーを有料サービスに登録させる Android.Joker ファミリーに属するトロイの木馬も再び拡散されました。

ユーザーを密かに有料サービスに登録させようとしていたSMSメッセンジャー「Smart Messages」とサードパーティ製キーボード「Cool Keyboard」

Indicators of compromise(侵害の痕跡)※英語

Google Playに悪意のあるアプリ：DNSプロトコルを使用して密かにC&Cサーバーに接続するトロイの木馬

Tue, 12 Nov 2024 12:38:36 GMT

2024年11月12日

株式会社Doctor Web Pacific

Android.FakeAppファミリーに属するトロイの木馬の多くはさまざまなサイトへのリンクを開くことを目的としており、技術的観点から見ると、そのようなマルウェアは極めて原始的であるといえます。これらトロイの木馬は起動されるとコマンドを受け取り、指定されたアドレスのサイトを開きます。その結果、ユーザーの画面にはインストールしたはずのプログラムやゲームの代わりに望まないサイトのコンテンツが表示されます。しかしながら、そのような偽アプリの中にもひときわ目を引くものが出現することがあります。それがAndroid.FakeApp.1669です。Android.FakeApp.1669は、開くべきリンクを含んだ設定を悪意のあるDNSサーバーから受け取るために、改変されたdnsjavaライブラリを使用するという点で他のAndroid.FakeAppトロイの木馬と異なっています。一方で、この設定はトロイの木馬が特定のサービスプロバイダ(モバイルインターネットのプロバイダなど)経由でインターネットに接続している場合にのみ送信され、それ以外の場合、トロイの木馬は一切姿を現しません。

Android.FakeApp.1669 にはさまざまなプログラムを装った多数の亜種が存在します。それらの拡散元の1つとなっているのがGoogle Playで、現時点で明らかになっている亜種が合計で216万回以上ダウンロードされています。

Android.FakeApp.1669 が潜んでいるアプリの例

以下の表は、Doctor WebのマルウェアアナリストによってGoogle Play上で発見された Android.FakeApp.1669 の亜種のリストです。リストに記載されてるものは一部であり、実際にはより多くの Android.FakeApp.1669 が発見されていますが、そのうちのいくつかは現在Google Playから削除されています。

アプリ名	ダウンロード数
Split it: Checks and Tips	1,000,000+
FlashPage parser	500,000+
BeYummy - your cookbook	100,000+
Memogen	100,000+
Display Moving Message	100,000+
WordCount	100,000+
Goal Achievement Planner	100,000+
DualText Compare	100,000+
Travel Memo	100,000+ (削除済み)
DessertDreams Recipes	50,000+
Score Time	10,000+

Android.FakeApp.1669 は起動されるとC&CサーバーにDNSリクエストを送信して、ターゲットドメイン名に関連付けられたTXTレコードを受け取ります。ただし、サーバーがトロイの木馬にこのレコードを送信するのは、感染したデバイスが特定のプロバイダ(モバイルインターネットプロバイダなど)経由でインターネットに接続している場合のみです。TXTレコードには通常、ドメインデータと追加の技術的情報が含まれていますが、 Android.FakeApp.1669 の場合はマルウェアの設定がエンコードされています。

Android.FakeApp.1669 はDNSリクエストを送信するためにdnsjavaオープンソースライブラリの改変されたコードを使用します。

Android.FakeApp.1669 のすべての亜種はそれぞれ特定のドメイン名に紐づけられており、DNSサーバーから異なる独自の設定を受け取ることができます。また、これらターゲットドメインのサブドメイン名は感染したデバイスごとに異なるユニークなものとなっています。そこには以下の機密情報を含む、デバイスに関するエンコードされたデータが含まれています。

デバイスのモデルとメーカー
画面サイズ
ID(2つの数字で構成されており、1つ目はマルウェアがインストールされた時刻、2つ目はランダムな数字)
デバイスのバッテリーが充電中かどうか、および現在の充電率
開発者モードが有効になっているかどうか

例として、アプリ「Goal Achievement Planner」に潜んだ Android.FakeApp.1669 の亜種はドメイン 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com. のTXTレコードを送信するようサーバーにリクエストしており、「Split it: Checks and Tips」に潜んだ亜種はドメイン 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital. の、「DessertDreams Recipes」に潜んだ亜種はドメイン 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com. のTXTレコードをリクエストしていることが、分析の結果明らかになっています。

Android.FakeApp.1669の亜種の1つを分析中に、Linuxの「dig」ツール経由でのリクエストに対してDNSサーバーが返した、ターゲットドメインのTXTレコードの例

これらのTXTレコードの内容は、次の手順で復号化することができます。

文字列を反転させる
Base64データをデコードする
gzipデータを解凍する
÷という文字を挟んで改行する

その結果、次のようなデータを得ることができます(以下の例はアプリ「Goal Achievement Planner」に送信されたTXTレコードのものです)。

url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954

このデータには、メインインターフェースの前面に表示されるウィンドウ内にトロイの木馬がWebViewで開くリンクが含まれています。このリンクから一連の長いリダイレクトチェーンが発生し、最終的にオンラインカジノのサイトが開きます。こうして、 Android.FakeApp.1669 はGoogle Play上のアプリのページに記載されている機能を実行する代わりに、サイトのコンテンツを表示するWebアプリケーションとして動作するようになります。

うたわれた機能を提供する代わりにオンラインカジノのサイトを表示させるマルウェア

一方で、トロイの木馬のインターネット接続が特定のサービスプロバイダ経由で実行されていない場合(またはオフラインの場合)には、実際にうたわれたアプリとして動作します。ただし、これはその亜種の作成者がそのような場合に備えて機能を組み込んでいた場合に限られます。

C&Cサーバーから設定を受け取らず、普通のアプリとして起動したトロイの木馬

Dr.Web Security Space for mobile devicesは、 Android.FakeApp.1669 の既知の亜種をすべて検出して駆除します。したがって、Dr.Webのユーザーに危害が及ぶことはありません。

Indicators of compromise(侵害の痕跡) ※英語

Android.FakeApp.1669の詳細 ※英語

2024年第3四半期のモバイルマルウェアレビュー

Tue, 01 Oct 2024 16:16:13 GMT

2024年10月1日

株式会社Doctor Web Pacific

モバイルデバイス向けDr.Web Security Spaceによって収集された検出統計によると、2024年第3四半期にデバイス上で最も多く検出された脅威は、脅威アクターによってさまざまな詐欺スキームに用いられる悪意のあるアプリ Android.FakeApp でした。次いで、 Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が2番目に多く検出された脅威となりました。3 番目に多く検出されたのはトロイの木馬 Android.Siggen です。この Android.Siggen は、多様な悪意のある機能を備えているため特定のファミリーに分類することの難しいプログラムです。

8月には197か国で130万台近くのAndroid TVボックスセットを感染させていたバックドア Android.Vo1d がDoctor Webのエキスパートによって発見されました。このバックドアは自身のコンポーネントを感染したデバイスのシステムストレージ領域に置き、脅威アクターのコマンドに応じてさまざまなプログラムを密かにダウンロードしてインストールすることができます。

また、インドネシアのユーザーを標的としたバンキング型トロイの木馬も発見されました。そのうちの1つは、インドネシアの大手銀行であるBRIのカスタマーサポートアプリ「BRImo Support」を装って拡散されていた Android.SmsSpy.888.origin です。このトロイの木馬はソフトウェアパッカーによって保護されており、 Android.Siggen.Susp.9415 として検出されていました。

起動されると、このトロイの木馬は本物の銀行のサイト（https://bri.co.id）をWebViewで開きます。同時に、Telegram Bot APIを使用して、脅威アクターが作成したTelegramチャット内に感染したデバイスに関する技術的情報を送信します。

Android.SmsSpy.888.origin は受信するSMSを傍受し、それらもチャット内に送信します。 55555, <number>, <text> のようなメッセージを受信した場合はコマンドであると解釈し、テキスト <text> を含んだメッセージを番号 <number> に送信します。こうすることで、スパムSMSを送信して拡散させることができます。

インドネシアのユーザーを襲ったもう1つのトロイの木馬は Android.SmsSpy.11629 です。この Android.SmsSpy.11629 もSMSを傍受するトロイの木馬で、あらゆる種類のアプリを装って拡散されています。この度発見された亜種は、インドネシアの大手銀行であるマンディリ銀行（Bank Mandiri Taspen）の利用者を標的として、同銀行の公式アプリ「Movin by Bank Mandiri Taspen」に偽装していました。このトロイの木馬は使用許諾契約に同意するよう求めるメッセージを表示させ、ユーザーが同意すると、次はSMSを使用する権限を要求します。

続いて、本物の銀行のサイト（https://mail.bankmantap.co.id/）をWebViewで開きます。

Android.SmsSpy.11629 は受信するSMSをすべて傍受します。その後、すべてのメッセージにテキスト developed by : @AbyssalArmy を追加したうえで、Telegram Bot APIを使用して攻撃者のTelegramチャット内にそれらを送信します。

Google Payでも引き続き脅威が発見されています。それらの中には新たな偽アプリが多数と、広告を表示するトロイの木馬が複数含まれていました。

2024年第3四半期の主な傾向

バックドア Android.Vo1dが100万台を超えるTVボックスセットを感染させる
詐欺に使用される悪意のあるアプリ Android.FakeApp の活動が活発
アドウェア型トロイの木馬 Android.HiddenAds の活動が活発
Google Playに新たなマルウェアが出現

モバイルデバイス向けDr.Web Security Spaceによる統計

Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.HiddenAds.3994: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.MobiDash.7815
Android.MobiDash.7813: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.Click.1751: サードパーティによるWhatsAppメッセンジャーのMod（改造版）に組み込まれ、Googleのライブラリクラスに偽装したトロイの木馬です。ホストアプリケーションが使用されている間にC&Cサーバーの1つに接続し、そこから2つのURLを受け取ります。1つはロシア語圏のユーザーを対象としたもので、もう1つはそれ以外のユーザーを対象としています。次に、同じくリモートサーバーから受け取った内容のダイアログボックスを表示させ、ユーザーが確認ボタンをクリックすると該当するリンクをブラウザで開きます。

Program.FakeMoney.11: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（ Tool.CloudInject としてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。
Tool.SilentInstaller.17.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.NPMod.1
Tool.NPMod.2: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.LuckyPatcher.1.origin: Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには Program.FakeMoney.11 と同じコードベースが使用されています。
Adware.Fictus.1.origin: net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。
Adware.Adpush.21846
Adware.AdPush.39.origin: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。

Google Play上の脅威

2024年第3四半期も、Doctor Webのマルウェアアナリストによって引き続きGoogle Play上で脅威が発見されています。それらの中には、さまざまなアプリを装って拡散されている Android.FakeApp ファミリーの新たな偽アプリが含まれていました。その一部は投資アプリや金融学習用の教材、家計簿ツールなどの金融関連アプリに偽装しており、多くが実際にうたわれた機能を実行していましたが、メインとなるタスクは詐欺サイトを開くことです。そのような詐欺サイトは投資や天然資源の取引、仮想通貨を通じて素早く簡単に利益を得ることができるとうたい、「サービス」にアクセスするためにアカウントに登録するか、または「申請フォーム」に個人情報を入力するようユーザーに要求します。

Android.FakeApp ファミリーに属するまた別のトロイの木馬の1つは、出会い系チャットアプリを装っていながら偽の「投資」サイトを開くという目新しいものでした。

これまで同様、ゲームを装って拡散されていた Android.FakeApp トロイの木馬も発見されています。これらトロイの木馬は一定の条件下でオンラインカジノやブックメーカーのサイトを開きます。

そのほか、求人検索アプリを装う Android.FakeApp の亜種も新たなものが検出されました。これらトロイの木馬は偽の求人情報を表示し、メッセンジャーを使用して雇用主（実際は詐欺師）に連絡するか、または個人情報を記入した「履歴書」を送信するようユーザーに指示します。

また、 Android.HiddenAds ファミリーに属する新たなトロイの木馬もGoogle Playで発見されています。これらトロイの木馬はホーム画面のメニューから自身のアイコンを隠し、煩わしい広告を表示させます。この度検出されたトロイの木馬は、画像集や写真編集アプリ、バーコードスキャナなどのアプリに偽装していました。

お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向けDr.Webアンチウイルス製品をインストールすることをお勧めします。

Indicators of compromise(侵害の痕跡)※英語

2024年第2四半期のモバイルマルウェアレビュー

Tue, 02 Jul 2024 09:38:11 GMT

2024年7月2日

株式会社Doctor Web Pacific

Android向け Dr.Web製品によって収集された検出統計によると、2024年第2四半期に最も多く検出された悪意のあるプログラムはアドウェア型トロイの木馬 Android.HiddenAds となりました。2番目に多く検出された悪意のあるプログラムは、サイバー犯罪者によってさまざまな詐欺スキームに用いられる Android.FakeApp トロイの木馬でした。検出されたこのトロイの木馬ファミリーの大部分を占めていたのが5月末にDoctor Webのエキスパートによって発見されたトロイの木馬 Android.FakeApp.1600 です。このトロイの木馬は悪意のあるサイトからゲームアプリとして拡散されており、起動されると、トロイの木馬の設定内で指定されているWebサイトを開きます。これまでに知られている亜種は「Wheel of Fortune」系のゲームをプレイできるとするオンラインカジノのサイトを開きますが、プレイしようとしたユーザーは登録ページにリダイレクトされます。この悪意のあるプログラムの高い検出数の裏には、これらが別のソフトウェアのアプリ内広告で宣伝されているという背景があります。それらの広告をタップしてしまったユーザーは悪意のあるサイトに飛ばされ、そこからトロイの木馬がダウンロードされます。3 番目に多く検出されたのは、スパイウェア機能を備えた Android.Spy トロイの木馬でした。

Google Payでは新たな脅威が発見され、それらの中には Android.FakeApp ファミリーに属するさまざまな偽アプリや、仮想報酬を現金化して引き出すことができるとうたう望ましくないアプリ Program.FakeMoney.11 が含まれていました。また、ユーザーを有料サービスに登録するトロイの木馬も引き続きGoogle Playから拡散されています。

2024年第2四半期の主な傾向

Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が、引き続き最も多く検出されたAndroid脅威となる
Google Playに新たな脅威が出現

Dr.Web for Androidによる統計

Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.HiddenAds.3956
Android.HiddenAds.3980
Android.HiddenAds.3989: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.Spy.5106: WhatsAppメッセンジャーの非公式Mod（改造版）として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。

Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（ Tool.CloudInject としてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.FakeMoney.11: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。.
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。
Tool.NPMod.1
Tool.NPMod.2: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.AdPush.39.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告を含んだ通知を表示します。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。

Google Play上の脅威

2024年第2四半期、Doctor Webのウイルスラボは Android.FakeApp ファミリーに属する新たなトロイの木馬アプリをGoogle Play上で発見しました。それらの一部は金融関連アプリやアンケートやクイズに参加するためのアプリを装って拡散されていました。

これらのアプリは、知名度の高い金融機関や石油・ガス会社に代わって金融教育を提供したり投資家になる機会を提供したりするとうたう詐欺サイトを開きます。ユーザーは「サービス」にアクセスするためにいくつかの質問に回答し、個人情報を提供するよう求められます。

Android.FakeApp ファミリーのまた別の一部は、さまざまなゲームに潜んでいました。これらの偽アプリは特定の条件下で、実際にゲームとして機能する代わりにブックメーカーやオンラインカジノのサイトを開きます。

同じくこのファミリーに属するまた別のトロイの木馬 Android.FakeApp.1607 は、画像収集アプリを装っていました。このアプリは実際にうたわれた機能を提供しますが、代わりにオンラインカジノのサイトを開く場合もあります。

求人検索アプリを装って拡散されていた Android.FakeApp の亜種もいくつか発見されています。

これらトロイの木馬（ Android.FakeApp.1605、 Android.FakeApp.1606 ）は偽の求人情報を表示し、Telegramなどのメッセンジャーを使用して「雇用主」に連絡するか、または個人情報を記入した「履歴書」を送信するようユーザーに指示します。詐欺師はここで興味を示したユーザーを、お金を儲けることができるとする別の詐欺スキームに誘い込み、金銭を詐取しようとする可能性があります。

Program.FakeMoney ファミリーに属する新たな望ましくないプログラムも発見されています。これらのアプリはさまざまなタスクを完了することで仮想報酬を受け取ることができるとうたっています。この報酬を現金化して引き出すことができるとしていますが、実際には報酬が支払われることはありません。これらアプリの目的は、できるだけ長くユーザーがアプリを使い続けるようにすることです。その間に広告を表示させ、それがデベロッパーの収益となります。

今回発見されたアプリ（ Program.FakeMoney.11 ）はゲーム「One-Armed Bandit」のバリエーションの1つで、ユーザーがゲームをプレイしてアプリ内広告を視聴することで仮想報酬を受け取ることができるというものです。ユーザーが「報酬」を引き出そうとすると、次々と別の条件を追加され、手続きを引き延ばされます。最終的にユーザーが報酬引き出しの申請に「成功」しても審査待ちの状態となり、この審査待ちの列にはすでに何千人もの他の「申請者」が連なっています。

そのほか、ユーザーを有料サービスに登録する Android.Harly ファミリーに属する新たなトロイの木馬（ Android.Harly.87 ）もGoogle Playから拡散されました。

Indicators of compromise(侵害の痕跡)※英語

スマートセックストイに潜むクリッカー型トロイの木馬

Sat, 04 May 2024 00:00:00 GMT

2024年5月7日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、ユーザーの気づかぬうちに広告サイトを開いてページ上でクリックするクリッカー型トロイの木馬の潜んだAndroidアプリケーションを発見しました。このようなトロイの木馬は密かに広告を表示させたり、クリック数を稼いだり、ユーザーを有料サービスに登録したり、 DDoS攻撃を実行したりするために使用されます。

Android向けアンチウイルスDr.Web for Androidには、動作解析に基づいて脅威を検出するテクノロジーOrigins Tracing™が十年以上も前から実装されています。この度、Google Playからダウンロードされたアプリ「Love Spouse」内に潜んだ不審なコンポーネントを検知し、ユーザーのデバイスを感染から守ったのがこのOrigins Tracing™でした。「Love Spouse」アプリはアダルトグッズをコントロールするためのものですが、標準デバッグコンポーネントcom.android.logcatchライブラリに偽装したクリッカー型トロイの木馬 Android.Click.414.origin が含まれていました。このトロイの木馬は「Love Spouse」のほかに、身体活動を追跡するアプリ「QRunning」でも検出されています。いずれも中国企業によって開発されたもので、合計で150万台を超えるデバイスにインストールされている極めて人気のあるアプリです。悪意のあるコードは最近、すなわちアプリの最新の数バージョン前から組み込まれ始めたものとみられます。現在、「Love Spouse」はバージョン1.8.8にアップデートされており、このバージョンにはトロイの木馬は含まれていません。一方、「QRunning」の修正アップデートは未だリリースされていない状況です。

アプリ「Love Spouse」と「QRunning」

このマルウェアは昨年4月に検出されたトロイの木馬 Android.Click.410.origin の亜種です。TVボックス「V88mini」のシステムパーティションでアンチウイルスによって新しいファイルが検出されたというユーザーからの連絡がDoctor Webのウイルスラボに寄せられ、それがダウンローダー Android.Click.410.origin でした。どのように感染が起こったのかについて確実な情報は得られませんでしたが、このデバイスにインストールされていたOSは主張されていたものとは異なるものであったという点が目を引きます。製品カードとシステム情報ページには、このTVボックスにはAndroid 12が搭載されていると記載されていましたが、OSビルド固有の識別子であるビルドIDはAndroid 7のものでした。残念ながら、低価格帯のAndroid TVボックスではこのようなケースが珍しくありません。それを証明するかのように、続けて別のユーザーからも問い合わせがあり、TVボックス「X96Q」で同じトロイの木馬 Android.Click.410.origin とOSスプーフィング手法が確認されました。このケースでは、トロイの木馬はアプリ「Desk Clock」に組み込まれていました。

トロイの木馬が検出されたTVボックス。これらのデバイスがいかに大きな脅威となりうるかについてはこちらの記事をご覧ください。

詳細な分析の結果、このトロイの木馬はモジュラー型構造であることが明らかになりました。モジュールの1つはデバイスに関する情報を収集し、残り2つのモジュールは密かにWebページを開き、広告を表示させてクリックを実行します。このトロイの木馬はホストアプリケーションが制御された環境で実行されていることを検知することもできます。エミュレーション環境であることを示すサインを検知した場合は、広告を表示させるタスクを送信しないようC2サーバーに指示します。また、特定のユーザーは標的から外れており、インターフェース言語が中国語に設定されているデバイス上では起動されることすらないという点も特徴的です。

起動された場合、このトロイの木馬はデバイスに関する極めて詳細な情報(ブランド、モデル、OSバージョン、IPアドレス、設定で選択された地域、キャリアコードなど)をC2サーバーに送信します。次に、組み込まれた2つの戦略のうち1つをアクティベートしますが、そのタスクの一部として、Android OSに含まれるWebViewコンポーネントを使用して密かにWebサイトを開きます。このコンポーネントはブラウザを起動せずにWebページを開くことを可能にするものです。このトロイの木馬はWebページをスクロールしたり、フォームにテキストを入力したり、開いたサイトで音声や動画ファイルが再生されている場合に音声をミュートにしたりすることができます。これらのアクションを実行するために、目的の広告ページが開かれているWebView内でC2サーバーから受け取ったJavaScriptコードを実行します。また、表示されているページのスクリーンショットを撮影してサーバーに送信し、ピクセル単位で分析してクリック可能な領域を特定することもできます。そのほか、また別のタスクとして、Bing、Yahoo、Google検索エンジンを使用してキーワードに基づいて広告リンクを提示します。

当初、このトロイの木馬は非公式Androidアプリストアで入手可能なアプリ内で検出されていましたが、2024年2月に公式ストアのGoogle Playにも侵入を果たしています。「Love Spouse」のバージョン1.8.1には未だトロイの木馬は含まれておらず、それよりも後にリリースされたバージョンのどこかで侵害された可能性が高いとみられます。

Doctor Webのユーザーからアプリにトロイの木馬が含まれていると知らされて驚く「Love Spouse」の販売元。「信頼性の高いアンチウイルス」を使用するよう勧めています。

お使いのデバイスにソフトウェアをインストールする際は十分に注意するようにしてください。Dr.Web Security Space for AndroidはAndroid.Clickトロイの木馬を検出・駆除し、デバイスをマルウェアから保護します。

Indicators of compromise(侵害の痕跡)※英語

2024年2月のモバイルマルウェアレビュー

Thu, 04 Apr 2024 11:11:29 GMT

2024年4月4日

株式会社Doctor Web Pacific

Android向け Dr.Web製品によって収集された検出統計によると、2024年2月には Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬の検出数が前月と比較して73.26%と大幅に増加しました。一方、また別のアドウェア型トロイの木馬ファミリー Android.MobiDash の検出数は58.85%減少しています。

さまざまなファミリーに属するバンキング型トロイの木馬の検出数は18.77%、スパイウェア型トロイの木馬 Android.Spy の検出数は27.33%それぞれ減少しています。一方でランサムウェア型トロイの木馬 Android.Locker の検出数は29.85%増加しました。

2月の主な傾向

Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬の活動が大幅に増加
バンキング型トロイの木馬とスパイウェア型トロイの木馬の検出数が減少
ランサムウェアの検出数が増加

Dr.Web for Androidによる統計

Android.HiddenAds.3956
Android.HiddenAds.3851: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.Spy.5106: WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Android.HiddenAds.Aegis.1
Android.HiddenAds.Aegis.4.origin: Androidデバイス上で自身の存在を隠し、迷惑な広告を表示させるトロイの木馬アプリです。インストール後に自動起動することができ、自身のサービスが常に実行されているようにするメカニズムを備えています。また、Android OSの隠し機能を使用する場合もあります。これらの点において、 Android.HiddenAds ファミリーに属する他のトロイの木馬と異なっています。

Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.wSpy.3.origin: Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Tool.NPMod.1: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.LuckyPatcher.1.origin: その動作ロジックを変更したり特定の制限を回避したりする目的で、Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。たとえば、ユーザーはこのツールを適用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod(改造版)です。このコードはメッセンジャーの動作中にWebコンテンツを表示(Android WebViewコンポーネントを使用して)させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Adpush.21846
Adware.AdPush.39.origin: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのファミリーに属します。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告を含んだ通知を表示します。

Indicators of compromise(侵害の痕跡)※英語

2024年1月のモバイルマルウェアレビュー

Tue, 02 Apr 2024 11:19:03 GMT

2024年4月2日

株式会社Doctor Web Pacific

Android向けDr.Web製品によって収集された検出統計によると、2024年1月には Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が再び最も多く検出された悪意のあるプログラムとなり、その検出数は2023年12月と比較して54.45%増加しています。また別のアドウェア型トロイの木馬である Android.MobiDash ファミリーの検出数は前月とほぼ変わらず、0.90%とわずかな増加にとどまりました。

バンキング型トロイの木馬とスパイウェア型トロイの木馬 Android.Spy の検出数はそれぞれ17.04%と11.16%増加し、ランサムウェア型トロイの木馬 Android.Locker の検出数もわずかに0.92%増加しました。

Google Payでは引き続き新たな脅威が発見されています。それらの中には望ましくないアドウェアモジュールの新たなファミリー Adware.StrawAd のほか、さまざまな詐欺スキームに用いられる Android.FakeApp ファミリーに属する新たなトロイの木馬が含まれていました。

1月の主な傾向

Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が、引き続き最も多く検出された脅威となる
多くのAndroidマルウェアファミリーの活動が増加
Google Play上で新たな脅威を発見

Dr.Web for Androidによる統計

Android.HiddenAds.3851
Android.HiddenAds.3831: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.Spy.5106
Android.Spy.4498: WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Android.MobiDash.7805: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.wSpy.3.origin: Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。
Program.FakeMoney.7: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても、実際にお金を手にすることはできません。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Tool.NPMod.1: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.LuckyPatcher.1.origin: その動作ロジックを変更したり特定の制限を回避したりする目的で、Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。たとえば、ユーザーはこのツールを適用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。

Adware.StrawAd.1: 望ましくないアドウェアモジュール Adware.StrawAd.1.origin が組み込まれたAndroidアプリの検出名です。このモジュールはAndroidデバイスの画面ロックが解除されている場合に、さまざまな広告サービスプロバイダからの公告を表示させます。
Adware.AdPush.39.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告を含んだ通知を表示します。

Google Play上の脅威

2024年１月の初め、Doctor Webのウイルスラボは望ましくないアドウェアプラットフォーム Adware.StrawAd.1.origin の組み込まれた複数のゲームをGoogle Play上で発見しました。特定されたのは以下のゲームです。

Crazy Sandwich Runner
Purple Shaker Master
Poppy Punch Playtime, Meme Cat Killer
Toiletmon Camera Playtime
Finger Heart Matching
Toilet Monster Defense
Toilet Camera Battle
Toimon Battle Playground

このプラットフォームはホストアプリケーションのリソースディレクトリ内に格納されている特殊な暗号化されたソフトウェアモジュールで、Androidデバイスの画面ロックが解除されている場合に、さまざまな広告サービスプロバイダからの公告を表示させます。Dr.Webアンチウイルス製品は Adware.StrawAd.1.origin の含まれたアプリを Adware.StrawAd ファミリーに属するアドウェアとして検出します。

1月には Android.FakeApp ファミリーに属する悪意のある偽アプリも多数発見されています。その一例であるトロイの木馬 Android.FakeApp.1579 は、漫画を読むためのアプリ「Pleasant Collection」に偽装していました。

このアプリの実際の機能は詐欺サイトを開くというものです。それらのサイトには、ゲーム(成人向けのものを含む)にアクセスできるとうたうサイトが含まれていました。以下の画像はそのようなサイトの例です。

このサイトでは、ユーザーはゲームを「開始」する前にいくつかの質問に回答し、年齢を確認するためと称して個人情報とクレジットカード情報を提供するよう求められます。

Android.FakeApp ファミリーに属するまた別のアプリは、これまで同様ゲームを装って拡散されていました。それらは Android.FakeApp.1573、 Android.FakeApp.1574、 Android.FakeApp.1575、 Android.FakeApp.1577、 Android.FakeApp.32.origin としてDr.Webウイルスデータベースに追加されています。

これらの偽アプリは特定の条件下でオンラインカジノやブックメーカーのサイトを開く場合があります。以下の画像は、偽アプリがゲームとして動作している例です。

次の画像は、偽アプリによって開かれるサイトの例です。

オンラインカジノやブックメーカーのサイトを開く偽アプリは他にもいくつか発見されています。その一部である Android.FakeApp.1576 はメイクを教えてくれるアプリ「Contour Casino Glam」とmeme(ミーム)作成アプリ「Fortune Meme Studio」に、 Android.FakeApp.1578 はライト(懐中電灯)アプリ「Lucky Flash Casino Light」に潜んでいました。

これらのアプリはインストール後しばらくは無害なアプリとして動作しますが、その後オンラインカジノやブックメーカーのサイトを開く場合があります。

そのほか、 Android.FakeApp.1564 および Android.FakeApp.1580 のさまざまな亜種が金融関連アプリ、ガイドや教材、アンケートに参加するためのアプリなどを装って拡散されていました。

これらの偽アプリは、有名企業に代わってさまざまなサービス(投資を行ったり金融リテラシーを向上させたりできるサービスなど)を提供するとうたう金融系の詐欺サイトを開きます。ユーザーはサービスにアクセスするために、アンケートに回答し個人情報を入力してアカウントに登録する必要があります。

以下の画像はそのようなサイトの例です。

Indicators of compromise(侵害の痕跡)※英語

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

Android向けロシア初のアンチウイルス
Google Playからのダウンロード数が、1.4億件を突破しました
個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード

2023年12月のモバイルマルウェアレビュー

Thu, 01 Feb 2024 11:45:44 GMT

2024年2月1日

株式会社Doctor Web Pacific

Android向けDr.Web製品によって収集された検出統計によると、2023年12月には Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が再び最も多く検出された悪意のあるプログラムとなりました。ただし、その検出数は前月と比較して53.89%減少しています。また、バンキング型トロイの木馬とスパイウェア型トロイの木馬の検出数もそれぞれ0.88%と10.83%減少しています。

2023年最後の月にも、Google Payでは Android.FakeApp ファミリーに属する新たな悪意のある偽アプリが発見されています。これらの偽アプリはさまざまな詐欺スキームに用いられています。そのほか、偽の仮想通貨ウォレットアプリを拡散する新たなサイトがDoctor Webのスペシャリストによって発見されました。

12月の主な傾向

Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が、最も多く検出された脅威となる
バンキング型トロイの木馬とスパイウェア型トロイの木馬の活動が減少
Google Play上で新たな悪意のあるプログラムを発見
AndroidとiOS 両方のデバイス向けの偽の仮想通貨ウォレットアプリを拡散する新たなWebサイトを発見

Dr.Web for Androidによる統計

Android.Spy.5106: WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Android.HiddenAds.3831
Android.HiddenAds.3851: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.MobiDash.7805: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.Click.1751: サードパーティによるWhatsAppメッセンジャーのMod(改造版)に組み込まれ、Googleのライブラリクラスに偽装したトロイの木馬です。ホストアプリケーションが使用されている間にC&Cサーバーの1つに接続し、そこから2つのURLを受け取ります。1つはロシア語圏のユーザーを対象としたもので、もう1つはそれ以外のユーザーを対象としています。次に、同じくリモートサーバーから受け取った内容のダイアログボックスを表示させ、ユーザーが確認ボタンをクリックすると該当するリンクをブラウザで開きます。

Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.wSpy.3.origin: Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。
Program.FakeMoney.7: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても、実際にお金を手にすることはできません。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Tool.NPMod.1: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.LuckyPatcher.1.origin: その動作ロジックを変更したり特定の制限を回避したりする目的で、Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。たとえば、ユーザーはこのツールを適用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.ApkProtector.16.origin: ApkProtectorソフトウェアパッカーによって保護されたAndroidアプリの検出名です。このパッカー自体は悪意のあるものではありませんが、マルウェアや望ましくないアプリケーションをアンチウイルスソフトウェアによって検出されにくくする目的で、サイバー犯罪者によって使用される可能性があります。

Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告通知を表示します。
Adware.Adpush.21846
Adware.AdPush.39.origin: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
Adware.Fictus.1.origin: net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。

Google Play上の脅威

2023年12月、Doctor Webのスペシャリストは Android.FakeApp ファミリーに属する新たな悪意のあるプログラムをGoogle Play上で発見しました。それらのうち、 Android.FakeApp.1564 は借金を記録するアプリを装って拡散され、 Android.FakeApp.1563 はアンケートアプリに潜んでいました。また、 Android.FakeApp.1569 は生産性を高め良い習慣を身に着けるサポートをしてくれるアプリとして拡散されていました。

これらの偽アプリはすべて、銀行や報道機関またはその他の有名企業の公式サイトを模倣した偽の金融関連サイトを開きます。ユーザーを欺くために、サイトにはそれぞれ該当する企業の名前やロゴが使用されています。それらの偽サイトで、ユーザーは投資を行ったり、金融リテラシーを高めるトレーニングやファイナンシャルサポートを受けたりできると提案されます。その際、アカウントに登録してサービスにアクセスするためと称して、個人情報を提供するよう求められます。

以下の画像は、それらのトロイの木馬によって開かれるサイトの例です。

Android.FakeApp ファミリーに属するまた別のトロイの木馬( Android.FakeApp.1566、 Android.FakeApp.1567、 Android.FakeApp.1568 など)は、ゲームを装って拡散されていました。

これらのアプリはゲームを起動させる代わりにブックメーカーやオンラインカジノのサイトを開く場合があります。

以下の画像は、それらトロイの木馬の1つがゲームモードで動作している例です。

次の画像は、そのトロイの木馬が開くサイトの例です。

Indicators of compromise(侵害の痕跡)※英語

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

Android向けロシア初のアンチウイルス
Google Playからのダウンロード数が、1.4億件を突破しました
個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード

2023年11月のモバイルマルウェアレビュー

Mon, 25 Dec 2023 12:03:59 GMT

2023年12月25日

株式会社Doctor Web Pacific

Android向けDr.Web製品によって収集された検出統計によると、2023年11月には Android.HiddenAds および Android.MobiDash ファミリーに属するアドウェア型トロイの木馬の活動に減少がみられました。その検出数はそれぞれ約4分の1(25.03%)と3分の1以上(35.87%)減少しています。また、バンキング型トロイの木馬とスパイウェア型トロイの木馬の検出数もそれぞれ3.53%と17.10%減少しています。

Google Playからは引き続き新たなマルウェアが拡散されています。詐欺目的で使用される Android.FakeApp ファミリーに属する20を超えるトロイの木馬アプリが発見されたほか、Androidユーザーを有料サービスに登録するトロイの木馬も検出されています。

11月の主な傾向

アドウェア型トロイの木馬の活動が減少
バンキング型トロイの木馬とスパイウェア型トロイの木馬の活動が減少
Google Playから新たな悪意のあるアプリが拡散

Dr.Web for Androidによる統計

Android.HiddenAds.3831
Android.HiddenAds.3697: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.MobiDash.7805: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.Spy.5106: WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Android.Spy.5864: サードパーティによるWhatsAppメッセンジャーの改造版に潜んだトロイの木馬を検出するために、Dr.Webアンチウイルスが使用するウイルスレコードです。脅威アクターはユーザーをスパイする目的でこのマルウェアを使用します(ユーザーのデバイス上にあるファイルを検索してリモートサーバーにアップロードする、電話帳の情報を取得する、感染したデバイスに関する情報を収集する、周囲の音声を録音して盗聴するなど)。

Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.wSpy.3.origin: Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。
Program.FakeMoney.7: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても、実際にお金を手にすることはできません。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Tool.NPMod.1: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.LuckyPatcher.1.origin: その動作ロジックを変更したり特定の制限を回避したりする目的で、Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。たとえば、ユーザーはこのツールを適用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。

Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告通知を表示します。
Adware.AdPush.36.origin
Adware.AdPush.39.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Airpush.7.origin: AAndroidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。

Google Play上の脅威

2023年11月、Doctor Webのウイルスラボは Android.FakeApp ファミリーに属する新たな悪意のあるプログラムをGoogle Play上で発見しました。それらの一部( Android.FakeApp.1497、 Android.FakeApp.1498、 Android.FakeApp.1499、 Android.FakeApp.1526、 Android.FakeApp.1527、 Android.FakeApp.1536 など)は家計簿や参考書、ガイド、教材などといった金融関連アプリを装って拡散されていました。これらアプリの主な機能は、ユーザーに投資を勧める詐欺サイトを開くというものです。投資を行うために、ユーザーは個人情報を提供する必要があります。

また別の偽アプリ Android.FakeApp.1496 は法的情報にアクセスするためのプログラムに潜んでいました。このアプリは、投資詐欺の被害にあったユーザーが失った金銭を取り戻すための法的助言を受けることができるとするサイトを開きます。

以下の画像はトロイの木馬によって開かれたサイトです。ユーザーはいくつかの質問に回答し、「弁護士による無料相談を受ける」ためにフォームに入力するよう求められます。

その他の偽アプリ( Android.FakeApp.1494、 Android.FakeApp.1503、 Android.FakeApp.1504、 Android.FakeApp.1533、Android.FakeApp.1534 など)はゲームを装って拡散されていました。これらのアプリは実際にゲームとして機能する場合もありますが、その主な目的はオンラインカジノやブックメーカーのサイトを開くことです。

以下の画像は、そのようなアプリがゲームとして動作している例です。

次の画像は、それらのアプリが開くブックメーカーサイトの例です。

ユーザーを有料サービスに登録する悪意のあるプログラムも新たなものが発見されています。このトロイの木馬は、ジェスチャーを使用してAndroidデバイスを操作するためのアプリ「Air Swipes」を装って拡散されていました。

起動されると、トロイの木馬はアフィリエイトサービスのサイトを開き、そこを経由してユーザーをサブスクリプションに登録します。

ユーザーがインターネット接続をオフにした状態でアプリを起動した場合や、目的のサイトを読み込めない場合、トロイの木馬は「Air Swipes」として動作しているように見せかけます。ただし、エラーが発生したという通知を表示させるだけで、実際にアプリとしては機能しません。Dr.Webアンチウイルスは、このトロイの木馬が潜んだアプリを Android.Subscription.21 として検出します。

Indicators of compromise(侵害の痕跡)※英語

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

Android向けロシア初のアンチウイルス
Google Playからのダウンロード数が、1.4億件を突破しました
個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード

2023年10月のモバイルマルウェアレビュー

Fri, 24 Nov 2023 10:35:21 GMT

2023年11月24日

株式会社Doctor Web Pacific

Android向け Dr.Web製品によって収集された検出統計によると、2023年10月には Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が最も多く検出された脅威となりました。その検出数は9月と比較して46.16%増加しています。2番目に多く検出されたアドウェア型トロイの木馬は Android.MobiDash ファミリーで、検出数は7.07%の増加となりました。また、スパイウェア型トロイの木馬とバンキング型トロイの木馬の検出数もそれぞれ18.27%と10.73%増加しています。

10月にもGoogle Playでは新たな脅威が発見され、それらの中には詐欺目的で使用される Android.FakeApp ファミリーに属する数十もの偽アプリが含まれていました。そのほか、Androidデバイスをプロキシサーバーに変えるトロイの木馬 Android.Proxy.4gproxy も発見されています。

10月の主な傾向

アドウェア型トロイの木馬の活動が増加
スパイウェア型トロイの木馬とバンキング型トロイの木馬の活動が増加
Google Playに新たな悪意のあるアプリが多数出現

Dr.Web for Androidによる統計

Android.HiddenAds.3831
Android.HiddenAds.3697: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.Spy.4498
Android.Spy.5106: WhatsAppメッセンジャーの非公式Mod（改造版）として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Android.MobiDash.7804: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（ Tool.CloudInject としてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.FakeMoney.7: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても、実際にお金を手にすることはできません。
Program.wSpy.3.origin: Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Tool.LuckyPatcher.1.origin: その動作ロジックを変更したり特定の制限を回避したりする目的で、Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。たとえば、ユーザーはこのツールを適用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.WAppBomber.1.origin: WhatsAppオンラインメッセンジャーで大量メッセージを送信するためのAndroidユーティリティです。動作するために、ユーザーの電話帳に登録されている連絡先リストへのアクセスを要求します。

Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告通知を表示します。
Adware.MagicPush.1: Androidアプリに組み込まれるアドウェアモジュールです。ホストアプリが使用されていないときに、OSのユーザーインターフェース上に重ねてポップアップバナーを表示させます。バナーには多くの場合、不審なファイルが発見されたことを知らせたり、スパムをブロックしたりデバイスの電力消費を最適化したりするよう勧めたりする、ユーザーを騙すような内容が表示され、そのためにアドウェアモジュールを含んだアプリを開くようユーザーに要求します。ユーザーがアプリを開くと広告が表示されます。
Adware.AdPush.39.origin
Adware.AdPush.36.origin: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。

Google Play上の脅威

2023年10月、Doctor WebのウイルスアナリストはGoogle Play上で50を超える悪意のあるアプリを発見しました。それらの中には感染させたデバイスをプロキシサーバーに変え、密かに第三者のトラフィックを経由させるトロイの木馬 Android.Proxy.4gproxy.1、 Android.Proxy.4gproxy.2、 Android.Proxy.4gproxy.3、 Android.Proxy.4gproxy.4 が含まれていました。 Android.Proxy.4gproxy.1 のさまざまな亜種はゲーム「Photo Puzzle」や不眠改善アプリ「Sleepify」、チャットボットツール「Rizzo The AI chatbot」を装って拡散されていました。 Android.Proxy.4gproxy.2 は天気予報アプリ「Premium Weather Pro」、 Android.Proxy.4gproxy.3 はメモ帳アプリ「Turbo Notes」、 Android.Proxy.4gproxy.4 はニューラルネットワークを使用して画像を生成するアプリ「Draw E」に潜んでいました。

これらのアプリには4gproxyと呼ばれる特殊なユーティリティ（Dr.Webによって Tool.4gproxy として検出）が組み込まれています。このツールはAndroidデバイスをプロキシサーバーとして使用することを可能にするもので、それ自体は悪意のあるものではなく正規の目的で使用される場合もあります。ただし、今回発見されたトロイの木馬では、ユーザーの関与や明示的な同意なしにプロキシサーバーの機能が実行されています。

Android.FakeApp ファミリーに属するトロイの木馬アプリも新たに数十発見されています。それらの一部（ Android.FakeApp.1459、 Android.FakeApp.1460、 Android.FakeApp.1461、 Android.FakeApp.1462、 Android.FakeApp.1472、 Android.FakeApp.1474、 Android.FakeApp.1485 など）は引き続き金融関連アプリを装って拡散されていました。これらアプリの主な機能は、ユーザーに投資を勧める詐欺サイトを開くというものです。ユーザーは個人情報を提供するよう求められ、収益性の高い金融プロジェクトや金融商品に投資をするよう勧められます。

これまで同様、また別の一部（ Android.FakeApp.1433、 Android.FakeApp.1444、 Android.FakeApp.1450、 Android.FakeApp.1451、 Android.FakeApp.1455、 Android.FakeApp.1457、 Android.FakeApp.1476 など）はゲームを装って拡散されています。これらのアプリは特定の条件下で、ゲームを起動する代わりにオンラインカジノやブックメーカーのサイトを開きます。

以下の画像は、そのようなアプリがゲームとして動作している例です。

次の画像は、それらのアプリが開くオンラインカジノとブックメーカーサイトの例です。

スポーツ関連のニュースや記事にアクセスするためのアプリに潜んでいたトロイの木馬 Android.FakeApp.1478 も同様の機能を持っており、ブックメーカーサイトを開く場合があります。

そのほか、求人検索アプリを装ったトロイの木馬アプリも新たなものが発見されています。そのうちの一つは「Rixx」（ Android.FakeApp.1468 ）で、もう一つは「Catalogue」（ Android.FakeApp.1471 ）です。起動されると、これら悪意のあるアプリは偽の求人情報を表示させます。応募しようとしたユーザーは、フォームに個人情報を入力するよう求められたり、WhatsAppやTelegramなどのインスタントメッセンジャーを使用して「雇用主」に連絡するよう指示されたりします。

以下の画像は、それら悪意のあるアプリがどのように動作するかを示したものです。履歴書作成画面を装ったフィッシングフォームが表示されている例と、メッセンジャー経由で「雇用主」に連絡するよう指示するテキストが表示されている例です。

Indicators of compromise(侵害の痕跡)※英語

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

Android向けロシア初のアンチウイルス
Google Playからのダウンロード数が、1.4億件を突破しました
個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード

2023年9月のモバイルマルウェアレビュー

Mon, 30 Oct 2023 11:00:57 GMT

2023年10月30日

株式会社Doctor Web Pacific

2023年9月初旬、Doctor Webは Android.Pandora.2 に関する調査結果を公表しました。 Android.Pandora.2 は感染させたデバイスでボットネットを形成し、脅威アクターのコマンドに従ってDDoS攻撃を実行する機能を備えたバックドアです。9月中旬には、 Android.Spy.Lydia ファミリーに属する悪意のあるプログラムについて注意を喚起する記事を掲載しました。これらは多機能なスパイウェア型トロイの木馬で、オンライン取引の金融プラットフォームを装いイランのユーザーを標的にしています。攻撃者のコマンドに従って、さまざまな悪意のある動作（SMSを傍受・送信する、ユーザーの電話帳に登録された連絡先に関する情報を収集する、クリップボードの内容をハイジャックする、フィッシングサイトを開くなど）を実行することができます。 Android.Spy.Lydia はさまざまな詐欺スキームや個人情報の窃取に利用される可能性があり、脅威アクターがユーザーの金銭を盗むことも可能にします。

Android向け Dr.Web製品によって収集された検出統計によると、2023年9月には前月と比較してAndroidマルウェアの活動に減少がみられました。アドウェア型トロイの木馬 Android.HiddenAds と Android.MobiDash の検出数はそれぞれ11.73%、26.30%減少しています。スパイウェア型トロイの木馬の攻撃数は25.11%減少し、 Android.Locker の攻撃数は10.52%、バンキング型トロイの木馬の攻撃数は4.51%減少しました。一方で、望ましくないアドウェアプログラムの検出数は14.32%増加しています。

Google Playでは新たな脅威が多数発見され、それらの中にはさまざまな詐欺スキームに使用されるトロイの木馬 Android.FakeApp の潜んだアプリや、ユーザーを有料サービスに登録するトロイの木馬 Android.Joker、そしてアドウェア型トロイの木馬 Android.HiddenAds が含まれていました。

9月の主な傾向

Androidマルウェアの活動が減少
Google Playに新たな悪意のあるアプリが出現

9月のモバイル脅威

2023年9月、Doctor Webはマルウェア Android.Pandora.2 の分析に関する詳細を公表しました。このトロイの木馬は主にスペイン語圏のユーザーを標的としています。 Android.Pandora.2 を使用した最初の攻撃事例は2023年3月に確認されています。

この悪意のあるプログラムは侵害されたファームウェアを介して、またはユーザーがオンラインで違法に動画を視聴するためにトロイの木馬化されたバージョンのアプリケーションをインストールした際に、Android TV OS搭載のスマートTVやTVボックスを感染させます。

Android.Pandora.2 の主な機能はサイバー犯罪者のコマンドに従って様々な種類のDDoS攻撃を実行することです。さらに、自己更新をインストールしたり、システムhostsファイルを置換えたりするなどといったその他のアクションも実行することができます。

Doctor Webのマルウェアアナリストによる調査の結果、このトロイの木馬は Linux.Mirai のコードをベースにして作成されていることが明らかになりました。 Linux.Mirai はIoT（Internet of Things：モノのインターネット）を感染させて様々なサイトに対するDDoS攻撃を行う目的で2016年から広く使用されています。

Dr.Web for Androidによる統計

Android.HiddenAds.3697: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.Spy.5106: WhatsAppメッセンジャーの非公式Mod（改造版）として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Android.Packed.57083: ApkProtectorパッカーによって保護された悪意のあるアプリの検出名です。バンキング型トロイの木馬やスパイウェアなどの脅威が含まれます。
Android.Pandora.17: バックドア型トロイの木馬 Android.Pandora.2 をダウンロードしてインストールする悪意のあるプログラムの検出名です。多くの場合、スペイン語圏のユーザーを対象にしたスマートTVアプリに組み込まれています。
Android.MobiDash.7804: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.FakeMoney.7: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても、実際にお金を手にすることはできません。
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（ Tool.CloudInject としてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。
Program.wSpy.3.origin: Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。メインのOSに影響を及ぼさない仮想ランタイム環境を作成します。
Tool.LuckyPatcher.1.origin: その動作ロジックを変更したり特定の制限を回避したりする目的で、Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。たとえば、ユーザーはこのツールを適用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.Packer.3.origin: NP Managerツールを使用してコードが暗号化および難読化されているAndroidプログラムの検出名です。
Tool.ApkProtector.16.origin: ApkProtectorソフトウェアパッカーによって保護されたAndroidアプリの検出名です。このパッカー自体は悪意のあるものではありませんが、マルウェアや望ましくないアプリケーションをアンチウイルスソフトウェアによって検出されにくくする目的で、サイバー犯罪者によって使用される可能性があります。

Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告通知を表示します。
Adware.MagicPush.1: Androidアプリに組み込まれるアドウェアモジュールです。ホストアプリが使用されていないときに、OSのユーザーインターフェース上に重ねてポップアップバナーを表示させます。バナーには多くの場合、不審なファイルが発見されたことを知らせたり、スパムをブロックしたりデバイスの電力消費を最適化したりするよう勧めたりする、ユーザーを騙すような内容が表示され、そのためにアドウェアモジュールを含んだアプリを開くようユーザーに要求します。ユーザーがアプリを開くと広告が表示されます。
Adware.AdPush.39.origin
Adware.AdPush.36.origin: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。

Google Play上の脅威

2023年9月、Google Play上で新たな悪意のあるアプリが多数発見され、その中には迷惑な広告を表示させるトロイの木馬が含まれていました。これらトロイの木馬はAgent Shooter ( Android.HiddenAds.3781 )、Rainbow Stretch ( Android.HiddenAds.3785 )、Rubber Punch 3D ( Android.HiddenAds.3786 )、Super Skibydi Killer ( Android.HiddenAds.3787 )などのゲームを装って拡散されていました。Androidデバイス上にインストールされると、ホーム画面上の自身のアイコンを透明なものに置き換え、名前を空白にすることでユーザーから隠れようとします。Google Chromeのアイコンを模倣したものに置き換えてブラウザを装う場合もあります。この場合、ユーザーがアイコンをタップするとトロイの木馬はブラウザを起動させ、自身はバックグラウンドで動作を続けます。これにより、ユーザーに気づかれにくくなり、すぐに削除されるリスクが低くなります。さらに、動作が停止してしまった場合でも、ブラウザを起動しているつもりのユーザーが再起動させてくれる可能性が高くなります。

Android.FakeApp ファミリーに属する新たな偽アプリも発見されています。それらの一部（ Android.FakeApp.1429、 Android.FakeApp.1430、 Android.FakeApp.1432、 Android.FakeApp.1434、 Android.FakeApp.1435など）は株取引、ガイドや教材、家計簿などといった金融関連アプリを装って拡散されていました。これらアプリの実際の主な機能は、ユーザーに投資を勧める詐欺サイトを開くというものです。

また別の一部（ Android.FakeApp.1433、 Android.FakeApp.1436、 Android.FakeApp.1437、 Android.FakeApp.1438、 Android.FakeApp.1439、 Android.FakeApp.1440など）は、ゲームを装って拡散されていました。これらのアプリは実際にゲームとして動作する場合もありますが、その主な機能はオンラインカジノのサイトを開くことです。

以下の画像は、そのようなアプリがゲームモードで動作している例です。

次の画像は、それらのアプリが開くオンラインカジノのサイトの例です。

そのほか、ユーザーを有料サービスに登録する Android.Joker ファミリーに属する新たなトロイの木馬もGoogle Playで発見されています。そのうちの一つ、 Android.Joker.2216 と名づけられたトロイの木馬は壁紙集アプリ「Beauty Wallpaper HD」を装って拡散され、また別の一つ、 Android.Joker.2217 はオンラインメッセンジャー「Love Emoji Messenger」として拡散されていました。

Indicators of compromise(侵害の痕跡)※英語

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

Android向けロシア初のアンチウイルス
Google Playからのダウンロード数が、1.4億件を突破しました
個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード

2023年8月のモバイルマルウェアレビュー

Tue, 03 Oct 2023 10:07:44 GMT

2023年10月3日

株式会社Doctor Web Pacific

Android向け Dr.Web製品によって収集された検出統計によると、2023年8月には Android.MobiDash ファミリーと Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が引き続き最も多く検出されたAndroidマルウェアとなりました。7月と比較して Android.MobiDash の検出数は72.23%増加し、一方で Android.HiddenAds の検出数は8.87%減少しています。

スパイウェア型トロイの木馬とランサムウェアの検出数はそれぞれ13.88%と18.14%減少し、バンキング型トロイの木馬の検出数は2.13%増加しました。

Google Playでは8月にも新たな悪意のあるプログラムが発見されています。

8月の主な傾向

アドウェア型トロイの木馬 Android.MobiDash の活動が大幅に増加
アドウェア型トロイの木馬 Android.HiddenAds の活動が減少
スパイウェア型トロイの木馬とランサムウェアの活動が減少
バンキング型トロイの木馬の攻撃数が増加

Dr.Web for Androidによる統計

Android.HiddenAds.3697: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.Spy.5106: WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Android.MobiDash.7802: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.Packed.57083: ApkProtectorパッカーによって保護された悪意のあるアプリの検出名です。バンキング型トロイの木馬やスパイウェアなどの脅威が含まれます。
Android.Pandora.7: バックドア型トロイの木馬 Android.Pandora.2 をダウンロードしてインストールする悪意のあるプログラムの検出名です。多くの場合、スペイン語圏のユーザーを対象にしたスマートTVアプリに組み込まれています。

Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.FakeMoney.7
Program.FakeMoney.8: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても、実際にお金を手にすることはできません。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。
Program.wSpy.1.origin: Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。

Tool.LuckyPatcher.1.origin: その動作ロジックを変更したり特定の制限を回避したりする目的で、Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。たとえば、ユーザーはこのツールを適用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。メインのOSに影響を及ぼさない仮想ランタイム環境を作成します。
Tool.ApkProtector.16.origin: ApkProtectorソフトウェアパッカーによって保護されたAndroidアプリの検出名です。このパッカー自体は悪意のあるものではありませんが、マルウェアや望ましくないアプリケーションをアンチウイルスソフトウェアによって検出されにくくする目的で、サイバー犯罪者によって使用される可能性があります。

Adware.AdPush.39.origin
Adware.AdPush.36.origin: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告通知を表示します。
Adware.MagicPush.1: Androidアプリに組み込まれるアドウェアモジュールです。ホストアプリが使用されていないときに、OSのユーザーインターフェース上に重ねてポップアップバナーを表示させます。バナーには多くの場合、不審なファイルが発見されたことを知らせたり、スパムをブロックしたりデバイスの電力消費を最適化したりするよう勧めたりする、ユーザーを騙すような内容が表示され、そのためにアドウェアモジュールを含んだアプリを開くようユーザーに要求します。ユーザーがアプリを開くと広告が表示されます。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。

Google Play上の脅威

2023年8月、トロイの木馬 Android.HiddenAds.3766 の潜んだアプリケーションがGoogle Play上で発見されました。このトロイの木馬は「Exquisite Wallpaper Collection」と呼ばれる壁紙集アプリを装って拡散されていましたが、その主たる機能は迷惑な広告を表示することです。さらに、 Android.HiddenAds.3766 はホーム画面上の自身のアイコンを透明なものに置き換え、名前を空白にすることでユーザーから隠れようとします。アイコンをGoogle Chromeブラウザのアイコンのコピーに置き換える場合もあります。この場合、ユーザーがアイコンをタップするとトロイの木馬ではなくブラウザが起動します。

Indicators of compromise(侵害の痕跡)※英語

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

Android向けロシア初のアンチウイルス
Google Playからのダウンロード数が、1.4億件を突破しました
個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード

巧みに操る詐欺師：モバイルデバイス用のリモート管理ソフトウェアを悪用して金銭を詐取

Fri, 29 Sep 2023 09:39:44 GMT

2023年9月29日

株式会社Doctor Web Pacific

Doctor Webは、リモートデスクトップアプリを利用した詐欺が増加していることについて注意を呼びかけています。攻撃者に最もよく使用されているのは「RustDesk」です。

先ごろ複数の銀行からデータベースの断片が漏えいしたことから、現在、詐欺師が利用者の個人情報にアクセス可能な状態になっています。犯罪者はユーザーの信頼を獲得する目的でこれらの情報を利用しています。銀行のサポートスタッフを装ってユーザーに連絡し、口座で金銭の損失につながる可能性のある不審な操作が検出されたと通知する手口が用いられています。続けて、金銭が盗まれることを防ぐためデバイスに「セキュリティ」アプリケーションをインストールする必要があると告げ、アプリストアにアクセスして「Sberbank support」や「VTB support」などのアプリを検索するよう提案します。

Source: nakopi-deneg.ru

最近まで、Google Playでそのような検索フレーズで検索した場合に結果の上位に表示されるのは「AweSun Remote Desktop」、「RustDesk Remote Desktop」、「AnyDesk Remote Desktop」などのアプリケーションとなっていました。これは、Google Playのアプリケーション検索ランキングシステムが、ユーザーが検索クエリを入力した後に実際にクリックしたアプリケーションを考慮に入れたものであるためです。つまり、「support bank_name」というキーワードでアプリケーションを検索し、誤ってリモート管理アプリケーションのリンクをクリックしてしまうユーザーが増えれば増えるほど、Google Playはますますそのようなアプリケーションを勧めてくるようになります。

ここで注意したいのは、リモート管理アプリケーション自体は悪意のあるものではないということです。問題となるのは、これらが違法行為に使用されたときです。

ユーザーがアプリをインストールした後、詐欺師は一意の識別子をユーザーから聞き出し、デバイスを完全にコントロールします。デバイスにアクセスすることで、ユーザーの口座から支払いや送金を行うことができるようになります。残念ながら、このような状況ではハッキングを証明して支払いを取り消すことは不可能です。銀行からみれば、決済システムとやり取りしたのはユーザーのデバイスであるためです。

現在、「RustDesk」アプリケーションはGoogleによってGoogle Playから削除されています。その結果、攻撃者は活動の場を独自のネットワークリソースへと移し、hxxps://помощникбанков[.]рфなどのサイトにアクセスするようユーザーに勧めるようになっています。

このようなサイトで、ユーザーはやはり「RustDesk」アプリケーションをダウンロードするよう促されます。一部のサイトでは、より説得力を持たせるためにアプリケーションの名前とアイコンが特定の銀行のものに置き換えられています。「満足したユーザー」によるレビューのセクションもあり、さらなる安心感を抱かせるのに一役買っています。

Dr.Webアンチウイルス製品は「RustDesk」アプリケーションを Tool.RustDesk.1.origin として、また、その亜種を Android.FakeApp.1426 として検出します。さらにセキュリティを強化するため、Dr.Webアンチウイルス製品に含まれるURLフィルターコンポーネントが悪意のあるサイトへのアクセスをブロックし、ユーザーを詐欺被害から守ります。

対策として、以下の点に注意してください。

銀行やその他の組織から電話があった場合は慎重に対応するようにしてください。
第三者からの要求でデバイス上にプログラムをインストールしないようにしてください。
SMSやプッシュ通知で受け取ったコードを誰とも共有しないでください。
「銀行の職員」と話をしないようにしてください。口座に対して不正な請求があったと言われた場合は電話を切ってください。問題がないことを確認したい場合は、カードに記載されている番号に自分から電話をかけるようにしてください。

Indicators of compromise(侵害の痕跡):

помощникбанков[.]рф
поддержкабанка[.]рф
поддержка-банка[.]рф
цбподдержка[.]рф
поддержкацб[.]рф
24поддержка[.]рф

sha1:2fcee98226ef238e5daa589fb338f387121880c6
sha1:f28cb04a56d645067815d91d079b060089dbe9fe
sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
sha1:535ecea51c63d3184981db61b3c0f472cda10092
sha1:ee406a21dcb4fe02feb514b9c17175ee95625213