ウイルスデータベース

2025年第3四半期のウイルスレビュー

Wed, 01 Oct 2025 02:00:00 GMT

2025年10月1日

Dr.Webアンチウイルスの検出統計によると、2025年第3四半期に検出された脅威の合計数は2025年第2四半期と比較して4.23%減少し、一方でユニークな脅威の数は2.17%増加しました。最も多く検出された脅威は、望ましくないアドウェアアプリ、広告を表示させるトロイの木馬、悪意のあるスクリプトとなっています。メールトラフィック内では、悪意のあるスクリプト、バックドア、そしてダウンローダやドロッパー、パスワードスティーラーなど種々のトロイの木馬が最も多く検出されました。

最も多く検出された暗号化ランサムウェアは Trojan.Encoder.35534、Trojan.Encoder.35209、Trojan.Encoder.35067 となっています。

2025年7月、Doctor Webのエキスパートは仮想通貨とパスワードを盗むよう設計されたマルウェアファミリー Trojan.Scavenger について記事を公開しました。Trojan.Scavenger はゲームのmodやチート、パッチに偽装して拡散され、DLL検索順序ハイジャッキング脆弱性を悪用して正規アプリと同時に起動されます。

8月には、ロシア企業の従業員を標的とした、モバイルデバイス向け多機能バックドア Android.Backdoor.916.origin の拡散について注意を喚起しました。このマルウェアはサイバー犯罪者によって遠隔操作され、被害者をスパイし機密情報を窃取する目的で使用されていました。

同じく8月、Doctor WebのアンチウイルスラボはハッカーグループScaly Wolfによるロシアの機械工学系企業を狙った標的型攻撃に関する調査結果を公表しました。この攻撃では複数の悪意のあるツールが用いられていましたが、メインとなるツールの1つはモジュール型バックドアUpdatarでした。攻撃者はこのバックドアを使用して、感染したコンピューターから機密情報を盗み出そうとしていました。

2025年第3四半期には、Doctor Webのインターネットアナリストによって新たなTelegramメッセンジャーの偽サイトや金融関連の詐欺サイトが多数確認されました。Google Playでは、第3四半期を通して数十もの悪意のあるアプリや望ましくないアプリが発見されています。その中にはユーザーを有料サービスに登録するトロイの木馬 Android.Joker や悪意のある偽アプリ Android.FakeApp が含まれていました。

2025年第3四半期の主な傾向

検出された脅威の合計数が減少
攻撃に使用されるユニークな脅威の数が増加
Telegramメッセンジャーの偽サイトや金融関連の詐欺サイトに新たなものが出現
パスワードと仮想通貨を盗むマルウェア Trojan.Scavenger が拡散される
バックドア Android.Backdoor.916.origin を用いてロシア企業の従業員をスパイし機密情報を窃取する攻撃が確認される
アドウェア型トロイの木馬 Android.MobiDash が最も多く検出されたAndroid向け脅威となる
アドウェア型トロイの木馬 Android.HiddenAds の活動が2四半期連続で減少
Google Playで多数の脅威を検出

Doctor Webサーバーによる統計

2025年第3四半期に最も多く検出された脅威：

VBS.KeySender.7: mode extensions、разработчика、розробникаというテキストを含むウィンドウを無限ループで検索し、Escapeキー押下イベントを送信してそれらを強制的に閉じる悪意のあるスクリプトです。
Adware.Downware.20091: 海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。
Trojan.Siggen31.34463: 感染したシステムにさまざまなマイニング型トロイの木馬やアドウェアをダウンロードするよう設計された、Go言語で記述されたトロイの木馬です。このマルウェアは %appdata%\utorrent\lib.dllに置かれるDLLファイルで、Torrentクライアント「uTorrent」のDLL検索順序ハイジャッキング（DLL Search Order Hijacking）脆弱性を悪用することで起動します。
Adware.Ubar.20: ユーザーのデバイス上に望ましくないプログラムをインストールするよう設計されたTorrentクライアントです。
JS.Siggen5.44590: パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。

メールトラフィック内で検出された脅威の統計

W97M.DownLoader.2938: Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることもできます。
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4: Microsoft Officeソフトウェアの脆弱性を悪用し、攻撃者が任意のコードを実行できるようにするエクスプロイトです。
JS.Phishing.745: フィッシングページを生成する悪意のあるJavaScriptスクリプトです。
JS.Muldrop.371: システムにペイロードをインストールする悪意のあるJavaScriptスクリプトです。

暗号化ランサムウェア

2025年第3四半期にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は、2025年第2四半期と比較して3.02%増加しました。

Doctor Webのテクニカルサポートサービスに寄せられた復号化リクエスト数の推移：

2025年第3四半期に最も多く確認された暗号化ランサムウェア（ユーザーからのリクエストに占める割合）：

Trojan.Encoder.35534 — 26.99%
Trojan.Encoder.35209 — 3.07%
Trojan.Encoder.35067 — 2.76%
Trojan.Encoder.41542 — 2.15%
Trojan.Encoder.29750 — 1.84%

インターネット詐欺

2025年第3四半期、Doctor WebのインターネットアナリストはTelegramメッセンジャーの新たな偽サイトが出現していることを確認しました。それら偽サイトの一部はユーザーのアカウントにアクセスすることを目的としたものでした。

金融関連の詐欺サイトも依然として後を絶ちません。そのうちの1つはApple社が開発したとする「未来の投資プラットフォーム『Apple Trade AI』」でユーザーをおびき寄せています。月に4,000ドル以上稼ぐことができると主張していますが、このプラットフォームに「アクセス」するためにユーザーは個人情報を提供して登録するよう要求されます。

また別の詐欺サイトでは「Metaの新しい投資プラットフォーム」に参加して「月4000ドル以上の安定した収入を得る」ようユーザーに持ちかけています。この「プラットフォーム」にアクセスするために、ユーザーはアンケートに回答して登録するよう求められます。

WhatsAppのトレーディング（取引）ボットを使用してお金を稼ぐことができるとうたう偽の投資プラットフォームにも新たなものが登場しています。

このサービスを使用するために、ユーザーは個人情報を提供する必要があります。

特定の国のユーザーを標的にした詐欺サイトも確認されています。そのうちのいくつかはCIS諸国のユーザーを標的にしたもので、「閉ざされた投資市場を開く」チャンスを提供し、金融サービスINSIDER Xを通じて特別な限定投資商品へのアクセスを可能にすると主張しています。このサービスを利用するために、ユーザーは個人情報を提供して「リクエストを送信」するよう指示されます。

ロシアのユーザーを狙った詐欺サイトの1つは、大手石油・ガス会社やロシア政府ポータルサイト「Gosuslugi」と関連があるかのように見せかけた「投資プラットフォーム」にアクセスするためにアンケートに回答するよう誘っています。

また別の詐欺サイトはロシアの正規銀行サービスを装い、「週に5万ルーブル以上稼ぐ」ために登録するようユーザーに持ちかけていました。

同様の偽サイトは他の国でも確認されています。キルギスタンのユーザーは、人気のプログラムに参加して、国内最大であると称する企業に投資するよう勧めるサイトの標的となりました。

ジョージアの銀行を装った詐欺サイトでは、その「投資プラットフォーム」に参加できるとうたってユーザーをおびき寄せていました。

カザフスタンの銀行を模倣した同様の偽サイトでは、月6万テンゲ以上を稼ぐことができると約束しています。

トルコの石油・ガス会社を装ったサイトでは、投資プラットフォームに参加して「1日に最大9000トルコリラ」稼ぐことができると主張しています。

政府からの給付金や補助金などといったトピックを悪用した詐欺も引き続き横行しています。カザフスタンのユーザーを標的としたそのようなサイトの1つでは、ユーザーは自分が補助金の対象かどうかを確認し、最大で500万テンゲを受け取ることができるとしています。

Find out more about Dr.Web non-recommended sites

モバイルデバイスを脅かす悪意のあるプログラムや望ましくないプログラム

Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）によって収集された検出統計によると、2025年第3四半期に最も多く検出された脅威は広告を表示させるトロイの木馬 Android.MobiDash となりました。前四半期に首位を飾っていた Android.HiddenAds は2位に転落し、その活動は大幅に減少しました。3番目に多く検出された脅威は偽アプリ Android.FakeApp となっています。

バンキング型トロイの木馬 Android.BankBot の検出数は前四半期比で増加し、一方で Android.Banker と Android.SpyMax の検出数は減少しました。

8月、Doctor Webはロシア企業の従業員をスパイして機密情報を窃取する目的で使用されていた多機能バックドア Android.Backdoor.916.origin について記事を公開しました。

Google Playでは第3四半期を通して70を超える悪意のあるアプリや望ましくないアプリが発見されています。それらの中にはユーザーを有料サービスに登録するトロイの木馬 Android.Joker や偽アプリ Android.FakeApp、そして仮想報酬を現金化できるとうたうアプリ Program.FakeMoney.16 が含まれていました。

2025年第3四半期のモバイルマルウェアに関連した注目すべきイベント：

アドウェア型トロイの木馬 Android.MobiDash の活動が活発化
アドウェア型トロイの木馬 Android.HiddenAds の活動が減少
バンキング型トロイの木馬 Android.BankBot の検出数が増加
バンキング型トロイの木馬 Android.Banker と Android.SpyMax による攻撃件数が減少
多機能バックドア Android.Backdoor.916.origin を用いてロシア企業の従業員をスパイする攻撃が確認される
Google Playから多数の脅威が拡散される

2025 年第3四半期のモバイルデバイスを取り巻くセキュリティ脅威の状況についての詳細はこちらのレビューをご覧ください。

2025年第3四半期のモバイルマルウェアレビュー

Wed, 01 Oct 2025 00:00:00 GMT

2025年10月1日

Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）によって収集された検出統計によると、2025年第3四半期に最も多く検出された脅威は広告を表示させるトロイの木馬 Android.MobiDash となりました。その検出数は前四半期比で18.19%増加しています。

2番目に多く検出されたのは、2四半期連続で活動の減少が続いているアドウェア型トロイの木馬 Android.HiddenAds でした。第3四半期の検出数は71.85%の減少となっています。このトロイの木馬は検出と削除を困難にするために自身のアイコンを隠し、広告を表示させます。表示される広告の種類には全画面モードでの動画も含まれています。

サイバー犯罪者によってさまざまな詐欺スキームに用いられるトロイの木馬 Android.FakeApp が前四半期に引き続き3位となりました。その検出数は7.49%減少しています。多くの場合、これら悪意のあるアプリはうたわれた機能を実行する代わりに詐欺サイトや悪意のあるサイト、ブックメーカーやオンラインカジノのサイトなどさまざまなWebサイトを開きます。

バンキング型トロイの木馬では、その活動に38.88%の減少がみられたものの依然として Android.Banker トロイの木馬が最も多く検出されています。Android.Banker は銀行口座に不正アクセスして金銭を盗み取る目的で脅威アクターによって使用されています。このファミリーに属するトロイの木馬はフィッシング画面を表示させてログインIDとパスワードを窃取する、正規銀行アプリの外観を模倣する、SMSを傍受してワンタイムコードを盗むなどといった機能を備えています。

続いて、前四半期比18.91%増となった Android.BankBot トロイの木馬が2位につけました。このトロイの木馬も認証コードを傍受することでユーザーのインターネットバンキングアカウントにアクセスしようとします。そのほか、サイバー犯罪者から受け取るさまざまなコマンドを実行することもでき、それらの中には感染したデバイスの遠隔操作を可能にするものもあります。

3位となったのは Android.SpyMax トロイの木馬で、その検出数は前四半期比で17.25%減少しています。Android.SpyMax はスパイウェア型トロイの木馬SpyNoteのソースコードを基に作成されており、感染したデバイスの遠隔操作を含む広範な機能を備えています。

8月、Doctor Webは多機能バックドア Android.Backdoor.916.origin を拡散する攻撃キャンペーンについて記事を公表しました。このマルウェアはAndroidユーザーをスパイし、機密情報を窃取する目的で使用されていました。脅威アクターはメッセンジャーを利用して被害者にメッセージを送信し、添付のAPKファイルから「アンチウイルス」（に偽装したバックドア）をインストールするよう誘導しています。Doctor Webのアンチウイルスラボではこのバックドアの最初の亜種を2025年1月に発見し、それ以来その進化を追い続けてきました。Android.Backdoor.916.origin はAndroidユーザー間での大量拡散を狙ったものではなく、標的型攻撃を目的に設計されたものであると考えられます。その主たる標的はロシア企業の従業員です。

Google Playでは第3四半期を通して多くの悪意のあるプログラムが拡散され、それらは合計で145万9000件以上インストールされていました。その中にはユーザーを有料サービスに登録する数十もの Android.Joker トロイの木馬や悪意のある偽アプリ Android.FakeApp が含まれています。そのほか、仮想報酬を現金化できるとうたうアプリの新たなものも発見されました。

2025年第3四半期の主な傾向

アドウェア型トロイの木馬 Android.MobiDash が最も多く検出された脅威となる
アドウェア型トロイの木馬 Android.HiddenAds の活動が引き続き減少
バンキング型トロイの木馬 Android.BankBot による攻撃件数が増加
バンキング型トロイの木馬 Android.Banker と Android.SpyMax の活動が減少
多機能バックドア Android.Backdoor.916.origin を用いた、ロシア企業の従業員に対する攻撃が確認される
Google Playで悪意のあるアプリを多数発見

Dr.Web Security Space for mobile devicesによる統計

Android.MobiDash.7859: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.Click.1812: さまざまなWebサイトをバックグラウンドで密かに読み込むことができる、悪意のあるWhatsAppメッセンジャーMod（改造版）の検出名です。
Android.HiddenAds.673.origin: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.Triada.5847: Android.Triada トロイの木馬を検出や解析から保護するよう設計されたパッカーの検出名です。多くの場合、これらトロイの木馬が埋め込まれた悪意のあるTelegramメッセンジャーMod（改造版）と一緒に用いられます。

Program.FakeMoney.11: さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために（多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます）、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.CloudInject.5
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（Tool.CloudInjectとしてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Tool.NPMod.3
Tool.NPMod.1
Tool.NPMod.4: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.LuckyPatcher.2.origin: Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。

Adware.AdPush.3.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Youmi.4: Androidデバイスのホーム画面に広告ショートカットを追加する、望ましくないアドウェアモジュールの検出名です。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。

Google Play上の脅威

2025年第3四半期、Doctor Webのアンチウイルスラボは50を超える Android.Joker トロイの木馬を検出しました。これはユーザーを有料サービスに登録するトロイの木馬ファミリーです。新たに発見された亜種はメッセンジャーや各種システムツール、画像編集アプリ、カメラアプリ、ドキュメント管理アプリなどのさまざまなアプリを装って拡散されていました。

Android.Joker.2412 が潜んだシステム最適化アプリ「Clean Boost」と、Android.Joker.2422 が隠されていたPDFドキュメント作成アプリ「Convert Text to PDF」

詐欺スキームに用いられる Android.FakeApp ファミリーに属する偽アプリも引き続き発見されています。これまで同様、その一部は参考書や教材、投資サービスにアクセスするためのソフトウェアなどといった金融関連アプリに偽装していました。また別の一部はゲームを装って拡散されています。このタイプの Android.FakeApp は特定の条件下でゲームとして機能する代わりにオンラインカジノやブックメーカーのサイトを開く場合があります。

金融アプリを装った Android.FakeApp トロイの木馬の例：金融リテラシーをテストするアプリに偽装した Android.FakeApp.1889 と、金融知識を向上させるアプリに偽装した Android.FakeApp.1890

そのほか、望ましくないアプリ Program.FakeMoney.16 も発見されました。Program.FakeMoney.16 は「Zeus Jackpot Mania」というアプリを装って拡散されており、このアプリでユーザーは仮想報酬を獲得し、現金化して引き出すことができるとうたっています。

Google Playで発見された Program.FakeMoney.16

現金を「引き出す」ためにユーザーはいくつか情報を提供するよう要求されます。最終的に被害者がお金を受け取ることはありません。

ユーザーに氏名と銀行口座情報を提供するよう求める Program.FakeMoney.16

お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向け Dr.Webアンチウイルス製品をインストールすることをお勧めします。

Indicators of compromise(侵害の痕跡)※英語

2025年第2四半期のモバイルマルウェアレビュー

Wed, 02 Jul 2025 02:00:00 GMT

2025年7月2日

株式会社Doctor Web Pacific

Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)によって収集された検出統計によると、2025年第2四半期にはアドウェア型トロイの木馬のさまざまなファミリーが引き続き最も多く検出されたマルウェアとなりました。中でも最も活発だったのは Android.HiddenAds ファミリーで、その検出数には8.62%の減少がみられたものの依然として首位をキープしています。2番目に多く検出されたのはアドウェア型トロイの木馬 Android.MobiDash で、検出数は11.17%増加しました。さまざまな詐欺スキームに用いられる悪意のあるプログラム Android.FakeApp が3位につけましたが、検出数は25.17%減少しています。

バンキング型トロイの木馬 Android.Banker の活動は前四半期と比較して73.15%増加しています。一方で、Android.BankBot は37.19%減、 Android.SpyMax は19.14%減となるなど、その他のバンキング型トロイの木馬ファミリーでは検出数に減少がみられました。

4月、Doctor WebはAndroidスマートフォンユーザーから仮想通貨(暗号資産)を盗む大規模な攻撃キャンペーンについて記事を公表しました。このキャンペーンでは、攻撃者はメッセージングアプリWhatsAppにトロイの木馬 Android.Clipper.31 を潜ませ、その改造版WhatsAppを低価格Androidスマートフォンモデルのファームウェアに組み込んでいました。 Android.Clipper.31 はWhatsAppチャット内の送受信メッセージを傍受してメッセージ内で仮想通貨TronまたはEtheriumのウォレットアドレス形式に一致する文字列を検出し、それらを攻撃者のアドレスに置き換えます。その際、ユーザーが置き換えに気づかないよう、感染したデバイスのメッセージ内にはユーザー自身の「正しい」ウォレットアドレスが表示されるようになっています。さらに、 Android.Clipper.31 はユーザーの仮想通貨ウォレットのニーモニックフレーズを見つけ出すために、.jpg、.png、.jpeg形式の画像をすべて攻撃者のサーバーに送信します。

同じく4月には、ロシアの軍関係者を標的とするスパイウェア型トロイの木馬も発見されました。このスパイウェア Android.Spy.1292.origin は地図アプリAlpineQuestの改変されたバージョンに隠され、脅威アクターによって作成された偽のTelegramチャンネルやロシアのAndroidアプリ配信サイトから拡散されていました。Android.Spy.1292.origin はユーザーのアカウントや携帯電話番号、電話帳の連絡先、感染したデバイスの位置情報、メモリ内に保存されているファイルに関する情報などを含む機密データを攻撃者に送信します。攻撃者からコマンドを受信した場合、トロイの木馬は指定されたファイルを盗むことができます。主に狙われているのはユーザーがポピュラーなメッセンジャー経由で送信する機密文書やAlpineQuestの位置情報ログファイルです。

Google Playでは第2四半期を通して新たな脅威が発見され、それらの中にはさまざまなトロイの木馬や広告を表示する望ましくないソフトウェアが含まれていました。

2025年第2四半期の主な傾向

アドウェア型トロイの木馬 Android.HiddenAds の活動が減少
アドウェア型トロイの木馬 Android.MobiDash の活動が活発化
バンキング型トロイの木馬 Android.Banker の検出数が前四半期比で増加
バンキング型トロイの木馬 Android.BankBot と Android.SpyMax による攻撃件数が減少
複数の低価格 Android スマートフォンモデルのファームウェア内で、仮想通貨を盗むよう設計されたトロイの木馬を発見
ロシアの軍関係者をスパイするトロイの木馬が拡散される
Google Playに新たな脅威が出現

Dr.Web Security Space for mobile devicesによる統計

Android.HiddenAds.657.origin
Android.HiddenAds.4214
Android.HiddenAds.4213: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。.
Android.MobiDash.7859: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。

Program.FakeMoney.11: さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために(多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます)、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Tool.NPMod.3
Tool.NPMod.1: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。
Tool.SilentInstaller.14.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod(改造版)です。このコードはメッセンジャーの動作中にWebコンテンツを表示(Android WebViewコンポーネントを使用して)させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.AdPush.3.origin: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。
Adware.Fictus.1.origin: net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。
Adware.Jiubang.1: Androidデバイス向けの望ましくないアドウェアで、アプリケーションのインストール時に特定のプログラムを宣伝するバナーを表示させます。

Google Play上の脅威

2025年第2四半期、Doctor WebのウイルスアナリストはGoogle Playで数十の脅威を発見しました。それらの中には Android.FakeApp ファミリーに属する偽アプリが含まれており、これまで同様その多くは金融関連アプリを装って活発に拡散されていました。これらの偽アプリは、うたわれた機能を実行する代わりに詐欺サイトを開きます。

発見されたトロイの木馬の例：トルコのユーザーを標的に「預金や収入を簡単に管理できる」とうたうアプリ「TPAO」に潜んだ Android.FakeApp.1863 と、フランス語圏のユーザーを標的にした金融アシスタントアプリ「Quantum MindPro」に偽装した Android.FakeApp.1859

ゲームに偽装するという手口も、Android.FakeApp 偽アプリの拡散手法として引き続き多く用いられています。この種の偽アプリは特定の条件下でゲームとして機能する代わりにオンラインカジノやブックメーカーのサイトを開きます。

オンラインカジノのサイトを開く場合のある偽ゲームの1つAndroid.FakeApp.1840 (「Pino Bounce」)

そのほか、仮想通貨に関する情報を提供するアプリ「Coin News Promax」に隠されていいた、広告を表示させる望ましくないソフトウェア Adware.Adpush.21912 も検出されています。 Adware.Adpush.21912 は通知を表示させ、その通知がクリックされるとC2サーバーによって指定されたリンクをWebView内で開きます。

Indicators of compromise(侵害の痕跡)※英語

2025年第2四半期のウイルスレビュー

Wed, 02 Jul 2025 10:16:56 GMT

2025年7月2日

株式会社Doctor Web Pacific

Dr.Webアンチウイルスの検出統計によると、2025年第2四半期に検出された脅威の合計数は2025年第1四半期と比較して7.38%減少し、ユニークな脅威の数も23.10%減少しています。最も多く検出された脅威は、望ましくないアドウェアアプリ、バックドア、広告を表示させるトロイの木馬、悪意のあるスクリプトとなっています。メールトラフィック内では、ダウンローダ型トロイの木馬、さまざまな悪意のあるスクリプト、ドロッパー型トロイの木馬が最も多く検出されました。

最も多く検出された暗号化ランサムウェアは Trojan.Encoder.35534、 Trojan.Encoder.35209、Trojan.Encoder.29750 となっています。

2025年4月、Doctor Webのウイルスアナリストは複数のAndroidスマートフォンモデルのファームウェア内でトロイの木馬を発見しました。このトロイの木馬はデバイスのユーザーから仮想通貨を盗むために使用されていました。また、ポピュラーな地図アプリの改変されたバージョンに組み込まれ、ロシアの軍関係者をスパイする目的で使用されていたトロイの木馬も発見されています。

第2四半期を通して、Doctor Webのインターネットアナリストによって新たな詐欺サイトが多数発見されました。それらの中にはオンライントレーニングを受けて資格やスキルを習得できるとうたう実在しない架空の教育プラットフォームが含まれていたほか、手っ取り早く簡単にお金を稼ぐことができるとうたう投資関連の詐欺サイトも引き続き確認されています。

モバイルデバイスでの検出統計では、広告を表示させるトロイの木馬 Android.HiddenAds の活動に減少が認められました。ただし、このマルウェアファミリーは依然として最も多く検出されたAndroid脅威となっています。また、Google Playでは新たな脅威が多数検出されています。

2025年第2四半期の主な傾向

検出された脅威の合計数が減少
攻撃に使用されるユニークな脅威の数が減少
教育や投資関連を装った詐欺サイトが多数出現
Androidデバイス向けの人気の地図アプリを使用するロシア軍関係者を標的とした、スパイウェア型トロイの木馬による攻撃を観測
仮想通貨を盗むよう設計されたトロイの木馬を複数のAndroidスマートフォンモデルのファームウェア内で発見
アドウェア型トロイの木馬 Android.HiddenAds が引き続き最も多く検出されたAndroid脅威の1つとなる
Google Playで新たな悪意のあるプログラムや望ましくないプログラムを発見

Doctor Webサーバーによる統計

2025年第2四半期に最も多く検出された脅威：

VBS.KeySender.6: mode extensions、 разработчика、 розробника というテキストを含むウィンドウを無限ループで検索し、Escapeキー押下イベントを送信してそれらを強制的に閉じる悪意のあるスクリプトです。
Adware.Downware.20091: 海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。
Trojan.BPlug.4242
Trojan.BPlug.3814: WinSafeブラウザ拡張機能の悪意のあるコンポーネントの検出名です。このコンポーネントはブラウザに迷惑な広告を表示させるJavaScriptファイルです。
Trojan.Siggen30.53926: 脅威アクターによって改変されたElectronフレームワークのホストプロセスの検出名です。Steamアプリケーションのコンポーネント(Steam Client WebHelper)に偽装し、JavaScriptバックドアをロードします。

メールトラフィック内で検出された脅威の統計

JS.Siggen5.44590: パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。
JS.Inject: JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。
Win32.HLLW.Rendoc.3: リムーバブルメディアなどを介して拡散されるネットワークワームです。
W97M.DownLoader.2938: Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることもできます。
PDF.Phisher.867: フィッシングニュースレターで使用されるPDFドキュメントです。

暗号化ランサムウェア

2025年第2四半期にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は、2025年第1四半期と比較して14.65%減少しました

Doctor Webのテクニカルサポートサービスに寄せられた復号化リクエスト数の推移：

2025年第2四半期に最も多く確認された暗号化ランサムウェア(ユーザーからのリクエストに占める割合)：

Trojan.Encoder.35534 — 24.41%
Trojan.Encoder.35209 — 4.41%
Trojan.Encoder.29750 — 2.71%
Trojan.Encoder.35067 — 2.71%
Trojan.Encoder.41868 — 2.71%

インターネット詐欺

2025年第2四半期を通して、Doctor Webのインターネットアナリストは教育関連を装った詐欺サイトを多数発見しました。さまざまな職業のトレーニングを提供するとうたうオンラインリソースが横行しています。カザフスタンのユーザーを対象にしたプラットフォーム「SMM Академия(SMM Academy)」と「LearnIT KZ」では、それぞれ「3ヶ月でSMMマネージャーのスキルを習得できる」、「データアナリストになれる」と主張しています。

英語を学べる「EnglishPro」や資産運用スキルを習得できる「FinCourse」などといったコースにアクセスできるとしてユーザーを誘い込むサイトも確認されています。

金融リテラシーを向上させることができるとうたうサイト「Финансовое Образование(Financial Education)」では、「お金に関するスキルを身につけて安定した将来を確保」するようユーザーに勧めています。

これらのサイトでは、提供されているサービスに「アクセス」するために名前や携帯電話番号、メールアドレスなどの個人情報を提供してアカウントに登録するようユーザーに要求します。提供されたデータは犯罪者の手にわたり、後にさまざまな詐欺スキームに利用される可能性があります。

偽の投資プロジェクトにユーザーを誘う詐欺サイトも新たなものが登場しました。多くの場合、それらは有名な企業やサービスと関連があるように見せかけています。そのようなサイトの1つは自動車メーカー「アウディ」の提供するサービスを装い、AI(人工知能)テクノロジーをベースにした革新的プロジェクトに参加することで仮想通貨の自動取引で高額収益を得ることができると約束しています。ただし、このサービスに「アクセス」するために250ユーロの初期投資が必要です。

また別の「投資プロジェクト」はソーシャルネットワークTikTokと関連があるかのように装っていました。この詐欺サイトで、ユーザーは簡単なアンケートに回答し、サービスにアクセスするために個人情報を提供して登録を行うよう求められます。

WhatsAppの公式サイトを装った詐欺サイトも複数発見されています。そのうちの1つはデジタルコインを受け取るよう勧めるサイトで、1コインにつき「1日15ユーロ」を得ることができるとしています。ユーザーは160コインを受け取りますが、そのコインを収益に変えるには個人情報を提供してアカウントに登録する必要があります。実際にはユーザーがデジタル資産を受け取ることはなく、入力した個人情報はスキャマーの手にわたります。

また別の偽WhatsAppサイトは、独自に開発された取引ボットへのアクセスを提供するという、前四半期にも確認された手口を用いたものでした。ユーザーは「WhatsApp Botを実行して自動で稼ぐ」よう誘われますが、ここでもやはり個人情報を提供して登録する必要があり、その情報は脅威アクターに送信されます。

特定の国のユーザーを標的とした詐欺サイトも確認されています。ロシアのユーザーは、投資サービスを利用して「夢を叶える」ことができると約束するサイトの標的となりました。架空のサービス名と外観を変えただけの、同じテンプレートを使用した複数のサイトが存在しています。

このテンプレートは、ウズベキスタンなどの他の国のユーザーを標的としたサイトにも用いられています。

欧州に住むロシア語話者を標的にしたサイトも発見されました。このサイトでは「LevelUPTrade」というプラットフォームの「革新的な新世代の金融ソリューション」を使用して週に最大で1,000ユーロの不労所得を得ることができると約束しています。

フランスのユーザーは、実際には存在しない自動取引ソフトウェアTraderAIへのアクセスを提供するサイトの標的となりました。このソフトウェアを使用することで3,500ユーロから始めて高額の収入を得ることができるとうたっています。

メキシコのユーザーを標的とした詐欺サイトでは、「インテリジェントな取引システム」であるQuantumIAが紹介されています。これは、量子コンピューティングと人工知能技術を使用した金融市場での自動取引を可能にする、という触れ込みで広く知られているQuantum SystemやQuantumAIと同じ似非自動売買システムの一種です。

また、大手銀行を装って投資サービスを提供する詐欺サイトもメキシコのユーザーを襲いました。このサイトでは登録後に短期間で16,000メキシコペソを稼ぐことができると約束していますが、そのためにユーザーは個人情報の提供を求められます。

ドイツのユーザーは偽の取引プラットフォーム「Lucrosa Infinity」の標的となりました。この詐欺サイトの画像は何年も前からサイバー犯罪者によってさまざまな形で悪用されています。詐欺サイトの1つでは、「投資を始めて経済的自立への扉を開こう」とアピールしています。

カナダのユーザーも、投資や仮想通貨取引で高収入を得ることができる「ユニークな」サービスを提供するとうたう詐欺サイトの標的となりました。「BitcoinFusionPro」や「BitcoinReaction」などといった「プラットフォーム」を宣伝する詐欺サイトが発見されています。これらのサイトでは、「たったの」350ドル投資するだけで1日に1,000カナダドル稼ぐことができると主張しています。

同様のサイトはポーランドのユーザーも襲っています。それらの1つでは「世界最新鋭の仮想通貨管理ソフトウェア」を使用して1日に950～2,200ドル稼ぐことができると約束しています。

また別のサイトでは250ユーロの投資で毎日700ユーロを稼ぐことができるとうたっています。

さらに別の詐欺サイトでは、自動システム「Click Money」を使って「自宅にいながら大きな収入を得ることができる」と約束しています。このシステムを使用することで、取引経験のないユーザーでも年間6,400万ズウォティを稼ぐことができるとしています。

非推奨サイト

Malicious and unwanted programs for mobile devices

Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)によって収集された検出統計によると、2025年第2四半期に最も多く検出された脅威は広告を表示させるトロイの木馬 Android.HiddenAds となりました。ただし、その検出数は前四半期と比較してわずかながら減少しています。次いでアドウェア型トロイの木馬 Android.MobiDash ファミリー、悪意のある偽アプリ Android.FakeApp が多く検出されています。前者の検出数は前四半期比で増加し、後者は減少しています。

バンキング型トロイの木馬の検出数にも増減入り混じった動きがみられ、 Android.Banker ファミリーによる攻撃件数が増加した一方で Android.BankBot および Android.SpyMax ファミリーの検出数は減少しています。

2025年第2四半期、Doctor Webのスペシャリストは複数のAndroidスマートフォンモデルのファームウェア内でトロイの木馬 Android.Clipper.31 を発見しました。このトロイの木馬は攻撃者によって改造されたメッセージングアプリWhatsAppに隠されており、デバイスのユーザーから仮想通貨を盗むために使用されていました。また、地図アプリAlpineQuestの改変されたバージョンに組み込まれ、ロシアの軍関係者をスパイする目的で使用されていた悪意のあるプログラム Android.Spy.1292.origin も発見されています。

Google Playでは第2四半期を通して数十の脅威が発見され、それらの中には悪意のある偽アプリ Android.FakeApp や新たな望ましくないアドウェアAdware.Adpush.21912が含まれていました。

2025年第2四半期のモバイルマルウェアに関連した注目すべきイベント：

アドウェア型トロイの木馬 Android.HiddenAds の活動が減少
アドウェア型トロイの木馬 Android.MobiDash の活動が活発化

Android.Banker の検出数が前四半期比で増加

バンキング型トロイの木馬 Android.BankBot と Android.SpyMax による攻撃件数が減少
複数の低価格 Android スマートフォンモデルのファームウェア内で、仮想通貨を盗むよう設計されたトロイの木馬を発見
ロシアの軍関係者を標的としたスパイウェア型トロイの木馬を発見
Google Playに新たな脅威が出現

2025年第2四半期のモバイルデバイスを取り巻くセキュリティ脅威の状況についての詳細はこちらのレビューをご覧ください。

2025年第1四半期のモバイルマルウェアレビュー

Fri, 28 Mar 2025 10:51:58 GMT

2025年3月28日

株式会社Doctor Web Pacific

モバイルデバイス向けDr.Web Security Spaceによって収集された検出統計によると、2025年第1四半期には広告を表示させるトロイの木馬 Android.HiddenAds が引き続き最も多く検出されたAndroidマルウェアとなりました。その検出数は2024年第4四半期と比較して2倍以上に増加しています。2番目に多く検出されたAndroidマルウェアはサイバー犯罪者によってさまざまな詐欺スキームに用いられる Android.FakeApp で、検出数は8%近く増加しました。3位となったのは Android.MobiDash ファミリーに属するアドウェア型トロイの木馬で、検出数は5倍近く増加しています。

Android.BankBot および Android.Banker ファミリーに属するトロイの木馬による攻撃件数もそれぞれ20.68%と151.71%増加するなど、多くのバンキング型トロイの木馬でも同様の動向がみられました。一方、2024年を通して活動が活発化していったスパイウェア型トロイの木馬Android.SpyMaxの検出数は2024年第4四半期と比較して41.94%減少しています。

Google Playでは第1四半期を通して数十もの新たな脅威が発見されました。それらの中には仮想通貨を盗むマルウェアや迷惑な広告を表示するトロイの木馬のほか、これまでと変わらず多数の Android.FakeApp トロイの木馬が含まれていました。

2025年第1四半期の主な傾向

アドウェア型トロイの木馬の活動が増加
バンキング型トロイの木馬 Android.BankBot と Android.Banker による攻撃件数が増加
スパイウェア型トロイの木馬Android.SpyMaxの活動が減少
Google Playに新たな脅威が多数出現

モバイルデバイス向けDr.Web Security Spaceによる統計

Android.HiddenAds.657.origin
Android.HiddenAds.655.origin
Android.HiddenAds.4214: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.MobiDash.7859: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

Program.FakeMoney.11
Program.FakeMoney.14: さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために(多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます)、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Tool.NPMod.1: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。
Tool.SilentInstaller.14.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.LuckyPatcher.1.origin: Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod(改造版)です。このコードはメッセンジャーの動作中にWebコンテンツを表示(Android WebViewコンポーネントを使用して)させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。
Adware.AdPush.3.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Fictus.1.origin: net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。

Google Play上の脅威

2025年第1四半期、Doctor WebのウイルスラボはGoogle Play上で数十の悪意のあるプログラムを検出しました。その中には、感染させたデバイス上で自らの存在を隠し、他のアプリのウィンドウやOSインターフェースの上に重ねて広告を表示するトロイの木馬 Android.HiddenAds.4213 と Android.HiddenAds.4215 のさまざまな亜種が含まれていました。これらは、エフェクトをかけて写真や動画を撮影するアプリや画像編集アプリ、画像収集アプリ、女性のための健康管理アプリを装っていました。

アドウェア型トロイの木馬 Android.HiddenAds が潜んでいたアプリ「Time Shift Cam」と「Fusion Collage Editor」

また、仮想通貨を盗むよう設計された悪意のあるプログラム Android.CoinSteal.202、 Android.CoinSteal.203、 Android.CoinSteal.206 も発見されました。これらはブロックチェーンプラットフォームRaydiumやAerodrome Finance、仮想通貨取引所Dydxの公式アプリを装って拡散されていました。

「Raydium」と「Dydx Exchange」に偽装した、仮想通貨を盗むトロイの木馬

これら悪意のあるアプリは、起動されると仮想通貨ウォレットにアクセスするためと称してニーモニックフレーズ(シードフレーズ)を入力するようユーザーに求めます。実際には、入力されたデータは脅威アクターに送信されます。信憑性を高めるために、ニーモニックフレーズの入力フォームは別の仮想通貨プラットフォームからの要求を装っている場合もあります。下の画像では、 Android.CoinSteal.206 が仮想通貨取引所PancakeSwapを装ったフィッシングフォームを表示させています。

Android.FakeApp 偽アプリも引き続きGoogle Playから拡散されています。それらの多くは教材や、投資サービスにアクセスするためのツール、個人財務管理アプリなどの金融関連アプリに偽装していました。これらのアプリは、脅威アクターが個人情報を収集することを目的にしたものなど、さまざまなフィッシングサイトを開きます。

金融アプリを装って拡散されていた Android.FakeApp トロイの木馬アプリの例：「Умные Деньги(Smart Money)」は Android.FakeApp.1803、「Economic Union」は Android.FakeApp.1777

Android.FakeApp トロイの木馬ファミリーに属するまた別の偽アプリは、特定の条件下でブックメーカーやオンラインカジノのサイトを開きます。このタイプの亜種はさまざまなゲームや、タイピングトレーナー、描画チュートリアルなどのアプリを装って拡散されており、その中には Android.FakeApp.1669 の新たな亜種も含まれていました。

うたわれた機能を実行する代わりにオンラインカジノやブックメーカーのサイトを開く場合のある悪質な偽アプリの例

Indicators of compromise(侵害の痕跡)

2025年第1四半期のウイルスレビュー

Fri, 28 Mar 2025 11:51:49 GMT

2025年3月28日

株式会社Doctor Web Pacific

Dr.Webアンチウイルスの検出統計によると、2025年第1四半期に検出された脅威の合計数は2024年第4四半期と比較して7.23%増加しました。一方、ユニークな脅威の数は27.59%と3分の1近く減少しています。このことは、脅威アクターによる攻撃が増加する一方で、それらの攻撃の多くに同じ悪意のあるアプリや望ましくないアプリが使用されているということを示しています。最も多く検出された脅威は、さまざまな機能を持った悪意のあるスクリプト、アドウェア型トロイの木馬、アドウェアアプリとなっています。

メールトラフィック内では、ドロッパー型トロイの木馬、ダウンローダー、アドウェアソフトウェア、悪意のあるスクリプト、そして攻撃したコンピューター上でさまざまな脅威を実行するよう設計されたトロイの木馬が最も多く検出されました。

最も多く拡散された暗号化ランサムウェアは Trojan.Encoder.35534、Trojan.Encoder.35209、Trojan.Encoder.35067 となっています。

2025年1月、Doctor Webのウイルスラボは複数の異なるトロイの木馬を使用したアクティブな仮想通貨Moneroのマイニングキャンペーンを発見しました。このキャンペーンでは、トロイの木馬を隠すために一部でステガノグラフィが使用されています。これは、ある情報を画像などの別の情報の中に埋め込んで隠す手法です。

また、第1四半期を通してメッセンジャーアプリTelegramのユーザーアカウントを盗むことを目的とした詐欺サイトの数が増加していることが確認されました。

モバイル脅威については、Androidを標的とするアドウェア型トロイの木馬やバンキング型トロイの木馬の活動に増加が認められ、Google Playで数十もの新たな悪意のあるアプリが発見されました。

2025年第1四半期の主な傾向

検出された脅威の合計数が増加
攻撃に使用されるユニークな脅威の数が減少
Telegramアカウントを盗むよう設計されたフィッシングサイトの数が増加
Androidを標的とするアドウェア型トロイの木馬とバンキング型トロイの木馬の活動が増加
Google Playに新たなマルウェアが出現

Doctor Webサーバーによる統計

2025年第1四半期に最も多く検出された脅威：

VBS.KeySender.6: mode extensions、разработчика、розробника というテキストを含むウィンドウを無限ループで検索し、Escapeキー押下イベントを送信してそれらを強制的に閉じる悪意のあるスクリプトです。
Adware.Downware.20091: 海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。
Trojan.BPlug.4242: WinSafeブラウザ拡張機能の悪意のあるコンポーネントの検出名です。このコンポーネントはブラウザに迷惑な広告を表示させるJavaScriptファイルです。
JS.Siggen5.44590: パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。
Trojan.Siggen30.53926: 脅威アクターによって改変されたElectronフレームワークのホストプロセスの検出名です。Steamアプリケーションのコンポーネント(Steam Client WebHelper)に偽装し、JavaScriptバックドアをロードします。

メールトラフィック内で検出された脅威の統計

JS.Siggen5.44590: パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。
JS.Inject: JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。
Trojan.AVKill.63950: Windows搭載コンピューターにバックドア JS.BackDoor.42 をインストールするドロッパーです。
Trojan.Inject5.13806: AutoItスクリプト言語で作成された、Windowsコンピューター向けの悪意のあるプログラムです。複数のシステムプロセスを実行し、それらにスパイウェア型トロイの木馬 Trojan.Fbng を挿入します。この Trojan.Fbng は攻撃者によってさまざまな目的に使用され、バンキング型トロイの木馬として使用することもできます。

暗号化ランサムウェア

2025年第1四半期にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は、2024年第4四半期と比較して9.34%減少しました。

Doctor Webのテクニカルサポートサービスに寄せられた復号化リクエスト数の推移：

2025年第1四半期に最も多く確認された暗号化ランサムウェア(ユーザーからのリクエストに占める割合)：

Trojan.Encoder.35534 — 11.89%
Trojan.Encoder.35209 — 5.95%
Trojan.Encoder. 35067 — 3.57%
Trojan.Encoder.38200 — 2.38%
Trojan.Encoder.37369 — 1.98%

インターネット詐欺

2025年第1四半期、Doctor WebのインターネットアナリストはメッセンジャーアプリTelegramのユーザーアカウントを盗むフィッシングサイトが新たに多数出現していることを確認しました。最も多くみられたのが、利用規約違反による問題について通知する偽のログインページやサポートページです。

オンラインストアの偽サイトも引き続き多く確認されています。これらのサイトは、アカウントにログインするようユーザーに求めます。

ロシアのオンラインストアを装った偽サイトのフィッシングログインフォーム

手っ取り早く簡単にお金を稼ぐことができる、またはギフトを受け取ったり、プロモーションに参加したりできるなどといった「魅力的なオファー」でユーザーを誘い込む詐欺サイトも引き続き横行しています。そのようなサイトの1つは、英国のユーザーを標的にさまざまな交通系ICカードの「限定版」を入手できるとうたうものでした。これらの限定版は記念バージョンで、バスや地下鉄などそれぞれ対象となる公共交通機関を長期にわたって無料で使うことができるとしています。

交通系ICカードFirst EssexとOyster の「公共交通機関を無料で利用できる特別なバージョン」を提供するとうたう詐欺サイト

ユーザーはいくつかの質問に回答し、バーチャルギフトボックスを開けるゲームに参加するよう促されます。ユーザーは必ず「当たり」を引くようになっていますが、獲得したカードを「受け取る」ために個人情報を提供して2ポンド支払うよう求められます。この個人情報とお金は脅威アクターの手に渡ります。

ユーザーが選んだギフトボックスでカードが当たったが、受け取るために個人情報を提供して2ポンド支払う必要がある

存在しない限定版交通系ICカードの代金を支払うためのバンクカード情報入力フォーム

人工知能(AI)技術に基づいていると主張するものなど、「独自の」アルゴリズムを使用しているとするあらゆる種類の取引プラットフォームでユーザーをおびき寄せる詐欺サイトも引き続き多くみられます。同時に、有名人の名前を悪用したり、実在の企業やサービスの名を借りたりすることで、それらと関連があると見せかける手口が用いられています。最も多くみられたシナリオの1つは、 TelegramやWhatsAppなどが提供する特別なサービスを使用してお金を稼ぐことができると主張するものです。

それら詐欺サイトの中には、Telegram AIやWHATSAPP AIなどさまざまなAIプラットフォームの助けを借りて、「自動取引システム」によって月に14,000ユーロ以上を稼ぐことができるとうたうものがありました。

取引ボットを目玉に据えたシナリオも確認されています。多くの場合、この手口ではメッセンジャーアプリの所有者自身によって開発されたツールであると偽って取引ボットが紹介されています。そのようなサイトの1つでは、「Pavel Durov(パーヴェル・ドゥーロフ)のボット」であるTelegram.AIを使用して毎月2,500ユーロ以上を稼ぐことができると約束し、また別の1つではMark Zuckerberg(マーク・ザッカーバーグ)が作成したとするWhatsApp Botを使用して1日に最大500ユーロ稼ぐことができるとしています。

また別の詐欺サイトでは、スマートフォンのブラウザで直接実行でき、グローバル企業の株を自動売買して月に1万ユーロを稼ぐことができるとする「Telegramプラットフォーム」に登録するよう勧誘しています。

WhatsAppのAIアルゴリズムを使用して「欧州に住む人」なら誰でも月に5,000ユーロ以上稼ぐことができると約束するサイトも確認されています。

「The wealth formula(富の公式)」(チェコ語では「Formule Bohatstvi」)と呼ばれる詐欺プラットフォームも偽のAIベース取引システムを用いた詐欺スキームの人気のバリエーションで、膨大なデータを分析して瞬時に取引を行うとうたっています。この存在しないシステムを提供するさまざまなサイトでは、訪問者は解説動画を視聴し、「危機対策オフィス」で助言を受けるためにアカウントに登録するよう誘導されます。これらの詐欺サイトは主に欧州、中でも特にチェコ共和国のユーザーを標的にしており、「生涯にわたって」毎日1,000ユーロの収入を得られると約束しています。システムにアクセスするために、ユーザーは最低で250ユーロを支払う必要があります。

なんらかの特殊なソフトウェアを使用して収入を得るといった、似たような他のシナリオも依然として多くみられます。そのようなサイトの1つはチェコのユーザーを標的に、「世界で最もインテリジェントな暗号化ソフトウェア」を使用して1日に数千コルナを稼ぐよう誘っています。

また別の詐欺インターネットポータルは、取引ソフトウェア「10K EVERY DAY APP」を使用して毎月470万コルナ以上稼ぐことができると約束しています。

投資をテーマにした偽サイトも引き続きあらゆる国のユーザーを襲っています。カザフスタンでは、石油・ガス取引を通じて不労所得を得るよう勧める新たなプラットフォームが発見されました。

カザフスタン、ロシア、中国などの企業の株式を売買して「稼げるだけ稼ぐ」よう持ちかけるサイトも多く確認されています。

ロシアとキルギスのユーザーを標的とした同様のサイトもあり、これらのサイトでは石油・ガス取引でお金を稼ぐことができるとうたっています。

ルーマニアのユーザーを標的とした詐欺サイトでは、ガスパイプライン「BRUA」プロジェクトに参加することで週3,000 レイの不労所得を得ることができると約束しています。

給付金や社会保障の支払いなどといった政府支援を約束する偽サイトはユーザーを誘い込みやすく、依然として後を絶ちません。ロシアのユーザーを標的とした偽のロシア政府ポータルサイト(Gosuslugi)の新たなものが出現しています。それらサイトの1つでは、石油・ガス会社の給付金プログラムに参加し、政府からボーナスを受け取るためと称して個人情報を提供するようユーザーに要求しています。

また別の詐欺サイトでは、「問題や災害を回避するため」に大手銀行が企画したものであるという表向きでカザフスタンのすべての住民に支援金の支払いを約束しています。

偽の投資サービスサイトも引き続き横行しており、ロシアの銀行を装ったものなどが確認されています。それらの多くはユーザーを騙すために本物の銀行サイトを模倣しています。

「投資サービス」へのアクセスを提供する、ロシアの銀行を装った偽サイト

非推奨サイト

モバイルデバイスを脅かす悪意のあるプログラムや望ましくないプログラム

モバイルデバイス向けDr.Web Security Spaceによって収集された検出統計によると、2025年第1四半期に最も多く検出された脅威は広告を表示させるトロイの木馬 Android.HiddenAds と Android.MobiDash、そして悪意のある偽アプリ Android.FakeApp となりました。これらの活動は2024年第4四半期と比較して増加しています。バンキング型トロイの木馬 Android.BankBot および Android.Banker による攻撃件数も増加しています。一方、2024年を通してほぼ毎月増加を続けていたスパイウェア型トロイの木馬 Android.SpyMaxの検出数は減少となりました。

Google Playでは引き続き多くの脅威が発見されています。それらの中にはさまざまな詐欺スキームに用いられるトロイの木馬や仮想通貨を盗むマルウェア、迷惑な広告を表示するトロイの木馬が含まれていました。

2025年第1四半期のモバイルマルウェアに関連した注目すべきイベント：

アドウェア型トロイの木馬 Android.HiddenAds と Android.MobiDash の活動が増加
バンキング型トロイの木馬 Android.BankBot と Android.Banker の活動が増加
スパイウェア型トロイの木馬 Android.SpyMax による攻撃件数が減少
Google Playで新たな脅威を発見

2025 年第 1四半期のモバイルデバイスを取り巻くセキュリティ脅威の状況についての詳細はこちらのレビューをご覧ください。

2024年のモバイルマルウェアレビュー

Mon, 03 Feb 2025 12:06:38 GMT

2025年2月3日

株式会社Doctor Web Pacific

2024年には、広告を表示させるトロイの木馬が再び最も多く検出されたAndroid向け脅威となりました。詐欺アプリやランサムウェア型トロイの木馬、クリッカー、バンキング型トロイの木馬の活動は2023年と比較して増加しています。バンキング型トロイの木馬に関しては、インターネットバンキングアカウントにアクセスするためのデータとSMS内の確認コードのみを盗む単純な機能を持ったものが2023年と比べて増加しており、最も多く検出されています。

最も多く検出された望ましくないアプリケーションは、さまざまなタスクを完了することで仮想報酬を得ることができるとうたうアプリで、この報酬は現金化して引き出すことができるとされています。最も多く検出されたリスクウェアはAndroidアプリをインストールせずに実行できるようにするツールとなりました。最も多く検出されたアドウェアはWhatsAppメッセンジャーの改造版でした。この改造版の機能には広告URLをロードするコードが挿入されています。

Google Playでは2024年を通して何百もの新たな脅威が発見され、そのダウンロード数は合計で2,670万件を超えています。それらの中にはスパイウェア型トロイの木馬や望ましくないアプリ、アドウェアアプリなどの悪意のあるプログラムが含まれていました。

2024年には、Android TVボックスに対する新たな攻撃もDoctor Webのエキスパートによって発見されました。システムストレージ領域に自身のコンポーネントを置くバックドアが約130万台のデバイスを感染させていたというものです。このバックドアは攻撃者のコマンドに応じてサードパーティソフトウェアを密かにダウンロードしてインストールする機能を備えていました。

また、Androidマルウェアの分析を複雑化させ、アンチウイルスによる検出を回避するための手法の導入が増加していることがDoctor Webのウイルスアナリストによって明らかになりました。これらの手法は、ZIPアーカイブ形式(AndroidアプリのAPKファイルはZIP形式をベースにしています)やアプリの設定ファイル AndroidManifest.xml に手を加えるなどといったもので、多くの場合バンキング型トロイの木馬で使用されています。

2024年の主な傾向

広告を表示させるトロイの木馬が引き続き最も多く検出された脅威となる
バンキング型トロイの木馬の活動が増加
インターネットバンキングアカウントのログインデータとSMS内の確認コードのみを盗む単純なバンキング型トロイの木馬 Android.Banker が多く使用されるようになる
マルウェアの分析を困難にしアンチウイルスによる検出を回避するために、APKアプリの形式や設定ファイルに手を加える手法が多く用いられるようになる
ランサムウェア型トロイの木馬 Android.Locker とクリッカー型トロイの木馬 Android.Click の検出数が増加
Google Playに新たな脅威が多数出現

2024年の最も注目すべきイベント

2024年5月、Doctor Webはスマートセックストイを操作するためのアプリと身体活動を追跡するアプリに潜んだクリッカー型トロイの木馬 Android.Click.414.origin を発見しました。いずれのアプリもGoogle Playから配信されており、インストール数は合計で150万を超えていました。詳細な分析の結果、 Android.Click.414.origin はモジュラー型構造であることが明らかになりました。それらのモジュールがそれぞれ特定のタスクを実行し、密かに広告サイトを開いてWebページをスクロールしたり、フォームにテキストを入力したり、開いたサイトで音声をミュートにしたりすることができます。また、表示されているページのスクリーンショットを撮影してサーバーに送信し、ピクセル単位で分析してクリック可能な領域を特定する機能も備えています。そのほか、Android.Click.414.origin は感染したデバイスに関する詳細な情報をC&Cサーバーに送信します。一方で、特定のユーザーは Android.Click.414.origin の標的から外れており、インターフェース言語が中国語に設定されているデバイス上ではこのクリッカーは起動しません。

アプリ「Love Spouse」と「QRunning」の一部のバージョンにはトロイの木馬 Android.Click.414.origin が潜んでいた

9月、Doctor Webはバックドア Android.Vo1d がAndroid TVボックスを感染させた事例について詳細な分析結果を公表しました。このモジュール型マルウェアはステムストレージ領域に自身のコンポーネントを置き、脅威アクターのコマンドに応じてサードパーティソフトウェアを密かにダウンロードしてインストールすることができます。世界197か国で130万台のデバイスが Android.Vo1d に感染していました。

Android.Vo1d バックドアに感染したTVボックスの検出数が最も多かった国

11月、Doctor WebはDNSプロトコルを使用して密かにC&Cサーバーに接続するマルウェアの例として Android.FakeApp.1669 を取り上げ、記事を公開しました。 Android.FakeApp.1669 は目的のサイトを開くことのみを目的とした比較的原始的なトロイの木馬ですが、サイトのアドレスを悪意のあるDNSサーバーのTXTファイルから取得し、そのために改変されたdnsjavaライブラリを使用するという点で他の Android.FakeApp トロイの木馬と異なっています。また、Android.FakeApp.1669 は特定のプロバイダ経由でインターネットに接続している場合にのみその姿を現し、それ以外の場合は無害なアプリとして動作します。

Android.FakeApp.1669 の亜種の1つを分析中に、Linuxの「dig」ツール経由でのリクエストに対してDNSサーバーが返した、ターゲットドメインのTXTレコードの例

統計

Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)によって収集された検出統計によると、2024年に最も多く検出された脅威は悪意のあるプログラムで、検出された脅威全体の74.67%を占めました。次いでアドウェアが10.96%を占めて2位となり、リスクウェアが10.55%を占めて3位、望ましくないアプリが3.82%を占めて4位となっています。

以下のグラフは、脅威の内訳を種類別に表したものです。

悪意のあるプログラム

2024年に最も多く検出された悪意のあるAndroidアプリは引き続き Android.HiddenAds ファミリーに属するトロイの木馬となりました。マルウェアの検出数全体に占める割合は2023年と比べて0.34ポイント増加し、31.61%となっています。

Android.HiddenAds ファミリーの中で最も多く検出されたのは Android.HiddenAds.3956 (Android.HiddenAds ファミリー検出数全体の15.10%、マルウェア検出数全体の4.84%)でした。このトロイの木馬は数年にわたって拡散され続けている Android.HiddenAds.1994 の数ある亜種の1つで、その他の亜種と同時に2023年に出現したものです。Doctor Webでは、いずれ Android.HiddenAds.3956 がファミリー内で首位におどり出る可能性もあると予測していましたが、それが現実のものとなりました。2024年には Android.HiddenAds.3980、Android.HiddenAds.3989、 Android.HiddenAds.3994、Android.HiddenAds.655.origin、Android.HiddenAds.657.origin などの新たな亜種も多く拡散されました。

また、サブファミリーである Android.HiddenAds.Aegis も多く検出されるようになっています。他の Android.HiddenAds マルウェアと異なり、このファミリーに属するマルウェアは自動実行機能を含むその他複数の機能を備えています。最も多く検出された亜種は Android.HiddenAds.Aegis.1、 Android.HiddenAds.Aegis.4.origin、 Android.HiddenAds.Aegis.7.origin、Android.HiddenAds.Aegis.1.origin でした。

2番目に多く検出されたマルウェアは、サイバー犯罪者によってさまざまな詐欺スキームに用いられる Android.FakeApp ファミリーに属するトロイの木馬となりました。マルウェア検出数全体に占める割合は2023年比で16.45ポイント増の18.28%となっています。多くの場合、これらトロイの木馬はフィッシング攻撃やインターネット詐欺を目的とした不正なサイトを開きます。

スパイウェア機能を備えたトロイの木馬 Android.Spy が3番目に多く検出されたマルウェアとなり、マルウェア検出数全体に占める割合は2023年比16.7ポイント減の11.52%でした。Android.Spy の中で最も多く検出されたのは2023年同様Android.Spy.5106で、マルウェア検出数全体の5.95%を占めました。

別のアプリをダウンロードしてインストールするよう設計され、任意のコードを実行することのできるマルウェアの検出数には複雑な動きがみられました。ダウンローダ型トロイの木馬 Android.DownLoader のマルウェア検出数全体に占める割合は0.49ポイント減の1.69%となり、 Android.Mobifun は0.15ポイント減の0.10%、 Android.Xiny は0.14ポイント減の0.13%となりました。一方で、Android.Triada と Android.RemoteCode の検出数は増加し、それぞれ0.6ポイント増の2.74%、0.95ポイント増の3.78%となっています。

ソフトウェアパッカーによって保護されたマルウェア Android.Packed の占める割合は7.98%から5.49%に減少し、ほぼ2022年の数値まで戻りました。アドウェア型トロイの木馬 Android.MobiDash による攻撃も10.06%から5.38%に減少しています。一方でランサムウェア型トロイの木馬 Android.Locker の検出数は1.15%から1.60%、 Android.Proxy の検出数は0.57%から0.81%とわずかに増加しました。 Android.Proxy は感染させたAndroidデバイスを使用して攻撃者のネットワークトラフィックをリダイレクトさせるトロイの木馬です。また、広告サイトを開いてページ上で勝手にクリックするマルウェア Android.Click の活動は0.82%から3.56%と大幅に増加しています。

以下のグラフは2024年に最も多く検出された上位10のマルウェアです。

Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.Spy.5106: WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Android.HiddenAds.3956
Android.HiddenAds.3851
Android.HiddenAds.655.origin
Android.HiddenAds.3994
Android.HiddenAds.657.origin: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自らの存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.Click.1751: サードパーティによるWhatsAppメッセンジャーのMod(改造版)に組み込まれ、Googleのライブラリクラスに偽装したトロイの木馬です。ホストアプリケーションが使用されている間にC&Cサーバーの1つに接続し、そこから2つのURLを受け取ります。1つはロシア語圏のユーザーを対象としたもので、もう1つはそれ以外のユーザーを対象としています。次に、同じくリモートサーバーから受け取った内容のダイアログボックスを表示させ、ユーザーが確認ボタンをクリックすると該当するリンクをブラウザで開きます。
Android.HiddenAds.Aegis.1: Androidデバイス上で自身の存在を隠し、迷惑な広告を表示させるトロイの木馬アプリです。インストール後に自動起動することができ、自身のサービスが常に実行されているようにするメカニズムを備えています。また、Android OSの隠し機能を使用する場合もあります。これらの点において、Android.HiddenAds ファミリーに属する他のトロイの木馬と異なっています。
Android.MobiDash.7815: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

望ましくないアプリケーション

2024年に最も多く検出された望ましくないアプリケーションは、さまざまなタスクを完了することでお金を稼ぐことができるとうたうアプリのファミリーに属する Program.FakeMoney.11 でした。実際にはユーザーが報酬を手にすることはありません。この Program.FakeMoney.11 は望ましくないアプリケーション検出数全体の52.10%と、約半分を占めていました。

Dr.Webアンチウイルス製品によって Program.CloudInject.1 として検出されるアプリケーションが19.21%(2023年比9.75ポイント増)を占めて2位につけました。これらはクラウドサービスCloudInjectを使用して改造されたアプリケーションです。改造過程で危険な権限や難読化されたコードが追加され、ユーザーはそのコードの目的をコントロールすることができません。

Program.FakeAntiVirus.1 の活動は2年続けて減少し、2023年比9.35ポイント減の10.07%を占めて3位となりました。このプログラムはアンチウイルスの動作を模倣して存在しない脅威の検出を通知し、検出された問題を「修復」するために製品の完全版を購入するよう促します。

2024年を通して、アクティビティを監視したりコントロールしたりするためのさまざまなアプリケーションが検出されました。これらのアプリケーションはユーザーの同意を得たうえでデータを収集することも密かに収集することも可能で、後者の目的で使用された場合は実質スパイウェアとなります。この種のアプリケーションで最も多く検出されたのは Program.TrackView.1.origin (2.40%)、Program.SecretVideoRecorder.1.origin (2.03%)、 Program.wSpy.3.origin (0.98%)、Program.SecretVideoRecorder.2.origin (0.90%)、 Program.Reptilicus.8.origin (0.64%)、Program.wSpy.1.origin (0.39%)、Program.MonitorMinor.11 (0.38%)となっています。

また、指定されたサイトを開いて広告を表示するアプリ Program.Opensite.2.origin が、望ましくないアプリケーション検出数全体の0.60%を占めました。

以下のグラフは2024年に最も多く検出された上位10の望ましくないアプリケーションです。

Program.FakeMoney.11
Program.FakeMoney.7: さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために(多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます)、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にしたり、アプリのアイコンと表示名を偽のものに置き換えたりすることができ、密かに動作することが可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。
Program.wSpy.3.origin: Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。
Program.Reptilicus.8.origin: Androidユーザーを監視できるようにするアプリケーションです。デバイスの位置情報を追跡する、SMSやソーシャルメディアのメッセージから情報を収集する、通話を傍受して周囲の音声を録音する、スクリーンショットを撮る、キーロガーとして機能する、デバイス上のファイルをコピーするなどの動作を実行することができます。
Program.Opensite.2.origin: 指定されたサイトを開いて広告を表示させる機能を持つAndroidプログラムの検出名です。このようなアプリは多くの場合、他のソフトウェアを装っています。YouTube動画プレーヤーを装って拡散されている亜種は、本物のYouTubeサイトを開き、接続されている広告SDKを使用して広告バナーを表示させます。

リスクウェア

2024年に多く検出されたリスクウェアでは、Androidアプリをインストールせずに実行できるようにするユーティリティ Tool.SilentInstaller が再び首位の座をキープしました。その検出数はリスクウェア全体の3分の1以上を占めています。最も多く検出された亜種は Tool.SilentInstaller.17.origin (16.17%)、 Tool.SilentInstaller.14.origin (9.80%)、 Tool.SilentInstaller.7.origin (3.25%)、 Tool.SilentInstaller.6.origin (2.99%)となっています。

NP Managerユーティリティを使用して改造されたアプリケーションも多く検出されました。このユーティリティは特殊なモジュールをアプリに埋め込み、改造されたアプリがデジタル署名の検証をバイパスすることを可能にします。Dr.Webアンチウイルス製品は改造されたそのようなアプリを Tool.NPMod ファミリーの亜種として検出します。最も多く検出された亜種は Tool.NPMod.1 で、2024年を通して大幅に検出数を伸ばしリスクウェア検出数全体の16.49%を占めました。これは2023年比で11.68ポイント増となります。また別の亜種である Tool.NPMod.2 は7.92%を占めました。合計で、Tool.NPMod ファミリーがリスクウェア検出数全体の4分の1近くを占めることになります。

Tool.Packer.1.origin パッカーによって保護されたアプリも検出数の上位に入っています。これらは2023年比12.38ポイント増となる13.17%を占めました。Tool.Androlua.1.origin の検出数も3.10%から3.93%と増加しています。これはAndroidアプリの改変や、悪意のあるものとなりうるLuaスクリプトの実行を可能にするフレームワークです。

一方、2023年に上位を占めていた Tool.LuckyPatcher fファミリーに属するツールは14.02%から8.16%に減少しました。このツールを使用することで、 Androidアプリケーションを改変したり、インターネットからダウンロードした特別なスクリプトを追加したりすることができます。難読化ツール Tool.Obfuscapk とパッカー Tool.ApkProtector によって保護されたアプリの検出数も、それぞれ3.22%から1.05%、10.14%から3.39%に減少しています。

以下のグラフは2024年に最も多く検出された上位10のリスクウェアです。

Tool.NPMod.1
Tool.NPMod.2: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。
Tool.LuckyPatcher.1.origin: Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。
Tool.Packer.3.origin: NP Managerツールを使用してコードが暗号化および難読化されているAndroidプログラムの検出名です。

アドウェア

2024年に最も多く検出されたアドウェアは新たな Adware.ModAd ファミリーで、アドウェア検出数全体の47.45%を占めました。2023年に首位に立っていた Adware.Adpush ファミリーは14.76%(21.06ポイント減)を占めて2位に後退しています。8.68%を占めて3位となったのは、また別の新たなアドウェアファミリー Adware.Basement でした。

そのほか、Adware.Airpush (8.59%から4.35%に減少)、Adware.Fictus (4.41%から3.29%に減少)、 Adware.Leadbolt (4.37%から2.26%に減少)、Adware.ShareInstall (5.04%から1.71%に減少)ファミリーに属するアドウェアも多く検出されています。2023年に2位を占めていたアドウェア Adware.MagicPush の活動は大幅に減少し、上位10にとどまることすらなく、アドウェア検出数全体のわずか1.19%(8.39ポイント減)を占めて11位に転落しました。

以下のグラフは2024年に最も多く検出された上位10のアドウェアです。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod(改造版)です。このコードはメッセンジャーの動作中にWebコンテンツを表示(Android WebViewコンポーネントを使用して)させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。
Adware.Fictus.1
Adware.Fictus.1.origin: net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。
Adware.Adpush.21846
Adware.AdPush.39.origin: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのファミリーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告を含んだ通知を表示します。
Adware.Youmi.4: Androidデバイスのホーム画面に広告ショートカットを追加する、望ましくないアドウェアモジュールの検出名です。
Adware.Inmobi.1: InmobiのアドウェアSDKの一部バージョンの検出名です。電話をかけたり、Android デバイスのカレンダーにイベントを追加したりできます。

Google Play上の脅威

2024年、Doctor WebのウイルスアナリストはGoogle Playで200を超える脅威を発見しました。これらは合計で2,670万件以上ダウンロードされています。それら脅威の中には前出の Android.Click.414.origin のほか、広告を表示させるトロイの木馬 Android.HiddenAds が含まれていました。このトロイの木馬は写真編集アプリやQRコードスキャナ、画像集アプリ、さらにはスマートフォンを悪用から守る「アンチセフト(盗難防止)」アラームなど、あらゆる種類のアプリを装って拡散されていました。 Android.HiddenAds はインストールされると自らのアイコンを隠し、OSや他のプログラムのインターフェース上に重ねて迷惑な広告を表示させ、デバイスの使用を妨げます。

2024年にGoogle Playで発見されたアドウェア型トロイの木馬の例: Android.HiddenAds.4013 は写真編集アプリ「Cool Fix Photo Enhancer」に潜み、 Android.HiddenAds.4034 は画像集アプリ「Cool Darkness Wallpaper」、Android.HiddenAds.4025 はQRコード読み取りアプリ「QR Code Assistant」、 Android.HiddenAds.656.origin は「アンチセフト」アラームアプリ「Warning Sound GBD」に隠されていた

高度なソフトウェアパッカーで保護されたトロイの木馬も発見されています。

アプリ「Lie Detector Fun Prank」と「Speaker Dust and Water Cleaner」はソフトウェアパッカーで保護されたトロイの木馬 Android.Packed.57156 と Android.Packed.57159 だった

さまざまな詐欺スキームに用いられる Android.FakeApp ファミリーに属するトロイの木馬も発見されました。これらトロイの木馬の多くは特定のWebサイトを開くことを主な目的としていますが、中には一定の条件下で実際にアプリとしてうたわれた機能を実行するものもあります。2024年に発見された Android.FakeApp トロイの木馬の多くは金融関連アプリ(教材やチュートリアル、利益計算アプリ、トレーディングにアクセスするためのアプリ、家計簿アプリなど)、メモ帳や日記帳、クイズゲームやアンケートに参加するためのアプリなどといったさまざまなアプリを装って拡散されていました。これらのアプリは詐欺投資サイトを開きます。

詐欺サイトへのリンクを開く Android.FakeApp トロイの木馬の例:アプリ「SenseStrategy」に偽装した Android.FakeApp.1681 、アプリ「QuntFinanzas」に偽装した Android.FakeApp.1708

また別の Android.FakeApp トロイの木馬は、さまざまなゲームを装って拡散されていました。これら偽アプリの多くは実際にゲームとして動作する機能も備えていましたが、主なタスクはオンラインカジノやブックメーカーのサイトを開くことでした。

ゲームを装いオンラインカジノやブックメーカーのサイトを開く Android.FakeApp トロイの木馬の例: Android.FakeApp.1622 (「3D Card Merge Game」)、Android.FakeApp.1630 (「Crazy Lucky Candy」)

求人検索アプリを装った Android.FakeApp トロイの木馬も引き続き発見されています。これらの偽アプリは架空の求人情報が掲載された詐欺サイトを開き、個人情報を入力して履歴書を作成するようユーザーに勧めます。また、メッセンジャーを使用して「雇用主(実際には詐欺師)」に連絡するよう指示するケースもあります。詐欺師は連絡してきたユーザーをさまざまな詐欺スキームに引き込もうと狙っています。

求人検索アプリを装った Android.FakeApp トロイの木馬の例: Android.FakeApp.1627 (「Aimer」)、 Android.FakeApp.1703 (「FreeEarn」)

ユーザーを有料サービスに登録するトロイの木馬もGoogle Playで発見されています。そのうちの1つである Android.Subscription.22 は写真編集アプリ「InstaPhoto Editor」を装って拡散されていました。

ユーザーを有料サービスに登録するよう設計されたトロイの木馬 Android.Subscription.22

モジュラー構造を持つ Android.Joker と Android.Harly ファミリーも、ユーザーを有料サービスに登録するまた別のトロイの木馬です。Android.Joker は追加のコンポーネントをインターネットからダウンロードすることができますが、Android.Harly は必要なモジュールを暗号化してファイルリソースに保存することが多いという点で異なっています。

ユーザーを有料サービスに登録するアプリの例: Android.Joker.2280 は星占いアプリ「My Horoscope」に、Android.Harly.87 はゲーム「BlockBuster」に潜んでいた

マルウェアに加えて、Program.FakeMoney.11 や Program.FakeMoney.14 のさまざまな亜種など、望ましくないアプリも新たなものがGoogle Play上で発見されました。これらは、さまざまなタスク(多くの場合、広告の視聴)を完了することで仮想報酬を稼ぐことができるとうたうファミリーに属するトロイの木馬です。報酬は現金や賞品に交換することができるとされていますが、「稼いだ」報酬を引き出すには一定の金額を貯める必要があります。たとえその金額が貯まったとしても結局ユーザーが実際にお金を受け取ることはありません。

Program.FakeMoney.11 の亜種の1つはゲーム「Copper Boom」を装い、Program.FakeMoney.14 はゲーム「Merge Party」を装って拡散されていた

2024年を通して、新たなアドウェアも発見されています。それらの中には、さまざまな広告サービスプロバイダの広告を表示するアドウェアモジュール Adware.StrawAd が組み込まれたアプリやゲームがありました。

アドウェアモジュール Adware.StrawAd: が組み込まれたゲームの例:「Crazy Sandwich Runner」( vir>Adware.StrawAd.1 )、「Poppy Punch Playtime」( Adware.StrawAd.3 )、「Finger Heart Matching」( Adware.StrawAd.6 )、「Toimon Battle Playground」( Adware.StrawAd.9 )

アドウェア Adware.Basement もGoogle Playから拡散されていました。多くの場合、Program.FakeMoney.11 によって表示される広告は悪意のある詐欺サイトにつながっています。このファミリーには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されているという点は特筆に値します。

望ましくないアドウェア Adware.Basement を含んだアプリの例:「Lie Detector: Lie Prank Test」、「TapAlarm:Don't touch my phone」、「Magic Voice Changer」(すべて Adware.Basement.1 )、「Auto Clicker:Tap Auto」( Adware.Basement.2 )

バンキング型トロイの木馬

モバイルデバイス向けDr.Web Security Spaceによって収集された検出統計によると、2024年に検出されたバンキング型トロイの木馬のマルウェア検出数全体に占める割合は2023年比2.71ポイント増の6.29%となりました。その活動は1月以降着実に減少しましたが、春中頃から再び増加に転じています。第3四半期を通じてほぼ横ばいで推移した後、再び増加を始めて11月にピークに達しました。12月にはすでに顕著な減少が確認されています。

2024年にも、よく知られたバンキング型トロイの木馬のファミリーが再び広く拡散されました。 Coper、 Hydra(Android.BankBot.1048.origin、Android.BankBot.563.origin )、 Ermac(Android.BankBot.1015.origin、Android.BankBot.15017 )、 Alien(Android.BankBot.745.origin、Android.BankBot.1078.origin )、 Anubis( Android.BankBot.670.origin )、 Cerberus ( Android.BankBot.11404 )、 GodFather( Android.BankBot.GodFather.3、Android.BankBot.GodFather.14.origin )Zanubis( Android.BankBot.Zanubis.7.origin )などのバンキング型トロイの木馬ファミリーによる攻撃が確認されています。

2024年を通じて、多彩な悪意のある機能を備えたスパイウェア型トロイの木馬 Android.SpyMax が盛んに拡散されました。これらトロイの木馬はバンキング型トロイの木馬としても広く用いられています。元々このファミリーに含まれていたのは多機能RAT(リモートアクセス型トロイの木馬)であるSpyNoteでしたが、ソースコードが流出した後、それをベースにしたCraxsRATやG700 RATなどの新たな亜種が多数登場し始めました。Dr.Web Security Spaceの検出統計によると、このファミリーに属するトロイの木馬の活動は2023年の後半から活発化し始め、その検出数はほぼ毎月増加し続けています。この傾向は現在も続いています

Android.SpyMax は世界中のユーザーを標的としています。2024年には、ロシアのユーザーに対する攻撃が多くみられ、 Android.SpyMax の46.23%がロシアユーザーのデバイスで検出されたものでした。そのほか、ブラジル(35.46%)とトルコ(5.80%)のAndroidユーザーに対しても活発に拡散されています。

ここで注目したいのは、ロシアにおける Android.SpyMax の拡散がスパムや従来のフィッシングを通じて行われているのではなく、電話詐欺から始まっているという点です。まず脅威アクターは銀行員や警察官を装ってユーザーに電話をかけ、問題が発生している(口座からお金が盗まれそうになっている、または想定外のローンがあるなど)と告げたり、あるいは逆に政府から特別支援金を受け取ることができるという「朗報」を伝えたりします。相手が信じ込んでいるのを見てとるや、「安全な取引」のためなどと称して「アンチウイルスのアップデート」や「バンキングアプリ」をインストールするよう勧めます。実際には、これらのアプリが Android.SpyMax トロイの木馬です。

ロシアのユーザーはバンキング型トロイの木馬Falconファミリー( Android.BankBot.988.origin、Android.Banker.5703 )とMamontファミリー( Android.Banker.637.origin、 Android.Banker.712.origin )による攻撃も受けました。また、バンキング型トロイの木馬 Android.Banker.791.origin と Android.Banker.829.origin はロシアとウズベキスタンのユーザーを標的とし、 Android.Banker.802.origin がロシア、アゼルバイジャン、ウズベキスタンのユーザーを、 Android.Banker.757.origin がロシア、ウズベキスタン、タジキスタン、カザフスタンのユーザーを襲いました。

東南アジアやアジア太平洋地域を含む多くの国のユーザーを標的とするMoqHaoファミリー( Android.Banker.367.origin、Android.Banker.430.origin、 Android.Banker.470.origin、 Android.Banker.593.origin )による攻撃も引き続き確認され、韓国のユーザーはFakecalls( Android.BankBot.919.origin、Android.BankBot.14423、Android.Banker.5297 )、 IOBot( Android.BankBot.IOBot.1.origin)、Wroba( Android.Banker.360.origin)による攻撃も受けました。 Wrobaの別の亜種( Android.BankBot.907.origin、Android.BankBot.1128.origin )は日本のユーザーも襲っています。

中国のユーザーは Android.Banker.480.origin などのバンキング型トロイの木馬の標的となり、ベトナムのユーザーは Android.BankBot.1111.originの攻撃を受けました。TgToxic( Android.BankBot.TgToxic.1 )はインドネシア、タイ、台湾のユーザーを襲い、 GoldDigger( Android.BankBot.GoldDigger.3 )はタイとベトナムのユーザーを攻撃しました。

イランのユーザーを標的としたバンキング型トロイの木馬( Android.Banker.709.origin、Android.Banker.5292、 Android.Banker.777.origin、Android.BankBot.1106.origin など)も再び拡散され、トルコのユーザーはTambir( Android.BankBot.1104.origin、 Android.BankBot.1099.origin、 Android.BankBot.1117.origin )などの標的となりました。

Android.Banker.797.origin、Android.Banker.817.origin、 Android.Banker.5435 などのバンキング型トロイの木馬はインドのユーザーを標的とし、Airtel Payments Bank(エアテル・ペイメンツ・バンク)、PM KISAN(プラダン・マントリ・キサン・サンマン・ニディ)、 IndusInd Bank(インダスインド銀行)などの金融機関と関連があるアプリを装っていました。 Rewardstealファミリーに属するバンキング型トロイの木馬( Android.Banker.719.origin、Android.Banker.5147、Android.Banker.5443 )も未だ活発で、同じくインドのAxis bank(アクシス銀行)、 HDFC Bank(HDFC銀行)、SBI、ICICI Bank(ICICI銀行)、RBL bank(RBL銀行)、Citi bank(シティバンク)などの銀行利用者が主な標的となりました。

ラテンアメリカ諸国ではブラジルの銀行利用者を標的としたバンキング型トロイの木馬PixPirate( Android.BankBot.1026.origin )が引き続き確認されています。

欧州のユーザーを狙ったバンキング型トロイの木馬にはAnatsa( Android.BankBot.Anatsa.1.origin )とCopybara( Android.BankBot.15140、 Android.BankBot.1100.origin )があり、後者は主にイタリア、英国、スペインのユーザーを標的としていました。

2024年には、Androidマルウェア、なかでも特にバンキング型トロイの木馬を分析や検出から保護するための特定の方法が広く用いられるようになっていることが、 Doctor Webのウイルスアナリストによって確認されました。とりわけ攻撃者の人気を集めているのが、Android のAPKがベースにしているZIP形式に手を加える手口です。その結果、標準アルゴリズムを使用してZIPアーカイブを扱う多くの静的解析ツールは、そのような「破損した」ファイルを正しく処理することができなくなります。そのうえ、 Android OSは改変されたそのようなトロイの木馬を通常のアプリケーションとして認識し、それらのインストールと実行を許可してしまいます。

最も多く使用されている手法の1つがAPKファイルのローカルファイルヘッダ内のフィールド compression method と compressed size を改変するというものです。脅威アクターは compressed size と uncompressed size フィールドにわざと間違った値を指定したり、 compression method フィールドに正しくない圧縮方法や存在しない圧縮方法を書き込んだりしています。あるいは、アーカイブに対して圧縮なしの方法を指定する場合もあります。これにより、一致するはずの compressed size と uncompressed size ヘッダーフィールドが一致しなくなります。

もう1つのよく見られる手法は、ECDR(End of Central Directory Record:中央ディレクトリの終わりレコード)とCD(ファイルやアーカイブパラメータに関するデータが格納される中央ディレクトリ)内のディスクに関する情報を誤ったものにするというものです。単一のアーカイブの場合、これらのパラメータは一致します。サイバー犯罪者はこれらに異なる値を指定することで、単一アーカイブを複数のアーカイブであるかのように見せかけます。

さらに、アーカイブ内にあるファイルのローカルファイルヘッダに、それらが暗号化されていることを示すフラグをセットするという手法も広く使用されています。実際にはファイルは暗号化されていませんが、この操作の結果アーカイブが正しく解析されなくなります。

APKの構造に手を加えるのでみなく、Androidアプリの AndroidManifest.xml 設定ファイルを改ざんするなどといった別の手口も確認されています。攻撃者はこのファイルの属性構造にガベージバイト b'\x00' を追加することで、ファイルが正しく読み取られないようにしていました。

今後の動向と展望

2024年にも、サイバー犯罪者は依然としてAndroidユーザーを犠牲にして収益を得ることに精を出していました。そのツールとして主に使用されているのは、これまで同様、広告を表示させるトロイの木馬やバンキング型トロイの木馬、スパイウェア機能を備えた悪意のあるアプリ、詐欺アプリです。したがって、2025年にもこの種の新たな脅威が出現するものと考えられます。

Google Playではセキュリティを強化するための措置が講じられているものの、依然としてAndroid脅威の拡散源の1つとなっています。今後もGoogle Play上に新たな悪意のあるアプリや望ましくないアプリが出現する可能性は否定できません。

2024年にはAndroid TVボックスの新たな感染事例も確認され、サイバー犯罪者の使用する攻撃ベクター(攻撃ベクトル)の多様化が示されました。犯罪者は引き続きAndroid TVボックスに狙いを定める一方で、さまざまなAndroidガジェットの中から新たな攻撃対象となりうるものを見つけようと模索し続けるでしょう。

2025年にも、マルウェア開発者は悪意のあるプログラムの解析や検出を回避するための新たな技術を引き続き積極的に組み込んでくるものと予想されます。

Doctor Webではモバイルデバイスを狙うサイバー脅威の進化と状況を監視し続け、ユーザーに対する確実な保護を提供してまいります。セキュリティを強化するため、Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)をインストールすることをお勧めします。これにより、悪意のあるプログラムや望ましくないプログラム、危険なプログラム、そして詐欺やその他のあらゆる脅威に対抗することができます。

Indicators of compromise(侵害の痕跡)※英語

2024年のウイルスレビュー

Mon, 03 Feb 2025 10:18:33 GMT

2025年2月3日

株式会社Doctor Web Pacific

2024年には、別の悪意のあるソフトウェアの一部として拡散されてそれらの検出を困難にする、AutoItスクリプト言語で書かれた悪意のあるプログラムが再び最も多く検出された脅威の1つとなりました。アドウェア型トロイの木馬やあらゆる種類の悪意のあるスクリプトの活動も活発でした。悪意のあるスクリプトはメールトラフィック内で最も多く検出された脅威となっています。そのほか、さまざまな種類のトロイの木馬やフィッシングドキュメント、任意のコードの実行を可能にするエクスプロイトがメールを介して多く拡散されました。

モバイルデバイスでは、広告を表示させるトロイの木馬、スパイウェア型トロイの木馬、望ましくないアドウェアアプリが最も多く検出された脅威となりました。また、2024年を通して、モバイルデバイスを標的とするバンキング型トロイの木馬の活動に増加がみられました。Google Playでは何百もの悪意のあるアプリや望ましくないアプリが発見されています。

2024年にもインターネット詐欺が活発化していることがDoctor Webのインターネットアナリストによって確認されました。詐欺師はユーザーを騙すために従来の手口と新たな手口の両方を駆使しています。

2024年にテクニカルサポートに寄せられたファイルの復号化リクエスト数は2023年と比較して減少しました。一方で、Doctor Webのスペシャリストは多くの情報セキュリティインシデントを観測しました。2024年を通し、Doctor Webでは複数の標的型攻撃について調査を行い、Android TVセットの新たな感染を発見し、自社インフラストラクチャに対する攻撃を阻止しました。

2024年の主な傾向

AutoItスクリプト言語で書かれたトロイの木馬の活動が引き続き非常に活発
悪意のあるスクリプトが最も多く拡散された脅威の1つとなる
悪意のあるスクリプトとさまざまな種類のトロイの木馬がメールトラフィック内で最も多く検出された脅威となる
新たな標的型攻撃が複数確認される
悪意のあるアクティビティを隠すためにeBPFテクノロジーを悪用する事例が増加
ランサムウェアによって暗号化されたファイルの復号化リクエスト数が減少
インターネット詐欺師の活動がきわめて活発
モバイルバンキング型トロイの木馬がますます多く使用される
Google Playで新たな脅威が多数発見される

2024年の最も注目すべきイベント

2024年1月、Doctor Webは特別に作成されたTelegramチャンネルや複数のサイトから配信される海賊版ソフトウェアにマイニング型トロイの木馬 Trojan.BtcMine.3767が潜んでいることを発見しました。このトロイの木馬は数万台のWindowsコンピューターを感染させています。 Trojan.BtcMine.3767 は感染させたシステムにとどまるために、自身が自動実行されるようスケジューラタスクを作成し、同じく自らをWindows Defenderの除外に追加します。次に、仮想通貨を密かにマイニングするコンポーネントをexplorer.exe (Windows Explorer)に挿入します。さらに、 Trojan.BtcMine.3767 はファイルレスルートキットをインストールしたり、Webサイトへのアクセスをブロックしたり、Windowsのアップデートを無効にしたりするなど、複数の悪意のあるアクションを実行することができます。

3月、Doctor Webはロシアの機械工学系企業を狙った標的型攻撃に関する調査レポートを公表しました。調査の結果、このインシデントでは多段階感染ベクトルと複数の悪意のあるプログラムが用いられていることが明らかになりました。その中で最も目を引くのが、それを経由して攻撃者と感染したシステム間の主なやりとりが実行される JS.BackDoor.60 バックドアです。 JS.BackDoor.60 は独自のJavaScriptフレームワークを使用し、難読化されたメインの本体と追加モジュールで構成されています。このトロイの木馬は感染したシステムからファイルを盗み、キーボードの入力情報を監視し、スクリーンショットを撮り、自身のアップデートをダウンロードし、そして新たなモジュールをダウンロードすることで自らの機能を拡張することができます。

5月、Doctor Webのウイルスアナリストは、アダルトグッズをコントロールするためのアプリ「Love Spouse」と身体活動を追跡するアプリ「QRunning」に潜むクリッカー型トロイの木馬 Android.Click.414.origin を発見しました。いずれのアプリもGoogle Playから配信されているものです。 Android.Click.414.origin はデバッグ情報を収集するコンポーネントに偽装し、アプリの新しいバージョンのいくつかに組み込まれていました。その後「Love Spouse」は新たなバージョンにアップデートされ、トロイの木馬は含まれなくなりました。一方、「QRunning」の開発者は何の対応も行っていません。 Android.Click.414.origin はモジュラー型構造を持ち、それらのモジュールを使用してさまざまな悪意のあるタスクを実行します(感染したデバイスに関する情報を収集する、密かにWebページを開く、広告を表示する、開いたページでクリックやその他の操作を実行するなど)。

7月、Doctor Webはコンピューターへの標的型攻撃に使用されるよく知られたリモートアクセス型トロイの木馬TgRatのLinuxバージョンの出現について記事を公表しました。 Linux.BackDoor.TgRat.2 と名づけられたこの新たな亜種は、ホスティングプロバイダから情報セキュリティインシデントの調査依頼を受けたDoctor Webがその調査の過程で発見したものです。同ホスティングプロバイダのクライアントの1社でDr.Webアンチウイルスによってサーバー上で疑わしいファイルが検出され、このファイルがバックドアドロッパーであることが明らかになりました。そしてそのドロッパーによってインストールされていたのが Linux.BackDoor.TgRat.2 です。このトロイの木馬はTelegramのプライベートグループ内で、そこに接続されているTelegramボットを使用して操作されます。攻撃者はTelegramメッセンジャーを通じて、感染したシステムからファイルをダウンロードする、スクリーンショットを撮る、コマンドをリモートで実行する、チャットの添付ファイルとしてファイルをアップロードするなどの動作を実行することができます。

9月初旬、Doctor Webは未然に防がれたロシアの大手鉄道貨物輸送業者に対するスピアフィッシング攻撃について記事を公表しました。添付ファイルを含んだ不審なメールが同企業の情報セキュリティ部門の目に留まり、Doctor Webのウイルスアナリストに調査が依頼されました。調査の結果、ファイルはPDFドキュメントを装ったWindowsショートカットであり、PowerShellコマンドインタープリタを起動するためのパラメータがハードコードされているということが明らかになりました。このショートカットを開くことで、サイバースパイ活動用に設計された複数の悪意のあるプログラムによる多段階でのシステムの感染が起こります。そのうちの1つがDLL検索順序ハイジャッキングを目的にYandex Browserの脆弱性 CVE-2024-6473 を悪用する Trojan.Siggen27.11306 です。このトロイの木馬は悪意のあるDLLライブラリをブラウザのインストールフォルダに配置します。このDLLファイルには、アプリケーションを正常に起動する役割を担うシステムライブラリ Wldp.dll と同じ名前が付いています。DLL検索の優先順位が高いブラウザインストールフォルダに悪意のあるライブラリが置かれているために、プログラムが起動されるとそれが最初にロードされます。さらに、この悪意のあるライブラリはブラウザのすべての権限を取得します。この脆弱性はその後修正されています。

その少し後、Doctor WebのエキスパートによりAndroid TVボックスの新たな感染事例が発見されました。 Android.Vo1d と名づけられたマルウェアが197か国で130万台近いデバイスを感染させていたというものです。この Android.Vo1d はシステムストレージ領域に自身のコンポーネントを置くモジュラー型バックドアで、攻撃者のコマンドに応じて別のプログラムを密かにダウンロードして実行する機能を備えています。

9月にはDoctor Webのリソースに対する標的型攻撃も確認されました。Doctor Webのスペシャリストによる迅速な対応によって、インフラストラクチャに危害を加えようとする企ては直ちに阻止され、ユーザーに対する影響もありませんでした。

10月、Doctor WebのウイルスアナリストはLinuxを標的とする複数の新たな悪意のあるプログラムを発見しました。これらはデータベース管理システムRedisのインストールされているデバイスに対する攻撃を調査する過程で発見されたものです。Redisには多数の脆弱性が存在するため、それらの悪用を目論むサイバー犯罪者の標的とされることが増えています。検出された脅威の中にはバックドア、ドロッパー、そして侵害したデバイス上にマイニング型トロイの木馬Skidmapをインストールするルートキットの新たな亜種がありました。このSkidmapは2019年に登場し、大規模なサーバーやクラウド環境を備えた企業を主な標的としています。

同じく10月には、仮想通貨のマイニングと窃盗を行うマルウェアを拡散させる大規模なキャンペーンが確認されました。この攻撃で2万8000人を超えるユーザーが被害を受け、その多くがロシアのユーザーでした。トロイの木馬は海賊版ソフトウェアに潜んでおり、GitHub上に作成された不正なWebページから拡散されていたほか、YouTubeに投稿された動画の下にもマルウェアをダウンロードするためのリンクが貼られていました。

11月、Doctor WebはWebサイトを開くことを目的としたトロイの木馬 Android.FakeApp.1669 の新たな亜種を複数発見しました。 Android.FakeApp.1669 はサイトのアドレスを悪意のあるDNSサーバーのTXTファイルから取得し、そのためにdnsjavaオープンソースライブラリの改変されたコードを使用するという点で他のAndroid.FakeAppトロイの木馬と異なっています。また、 Android.FakeApp.1669 は特定のプロバイダ経由でインターネットに接続している場合にのみその姿を現し、それ以外の場合は無害なアプリとして動作します。

2024年末、クライアントの1社から依頼を受けた情報セキュリティインシデント調査を行うなかで、Doctor Webのウイルスアナリストは主に東南アジアのユーザーを標的とした進行中のハッキング攻撃キャンペーンを発見しました。この攻撃キャンペーンでは、複数の悪意のあるプログラムが使用されていたほか、サイバー犯罪者の間で人気が高まりつつある最新の手法やテクニックがいくつも取り入れられていました。そのうちの1つが、Linuxオペレーティングシステムのネットワークサブシステムとそのプロセスに対するコントロールを向上させるために開発されたテクノロジーであるeBPF(extended Berkeley Packet Filter)の悪用です。このテクノロジーを悪用することで、悪意のあるネットワークアクティビティやプロセスを隠したり、機密情報を収集したり、ファイアウォールや侵入検知システムをバイパス(回避)したりすることが可能になります。もう1つは、トロイの木馬の設定ファイルをC&Cサーバー上ではなくGitHubやブログなどのパブリックプラットフォーム上に保存するというものです。そして3つ目は、悪意のあるアプリと共にポストエクスプロイトフレームワークを使用するというものです。このようなフレームワーク自体は悪意のあるものではなく、デジタルシステムのセキュリティ監査に使用されています。一方で、その機能と内蔵の脆弱性データベースによって、攻撃者にとっても魅力的なツールとなっています。

マルウェアに関する状況

Dr.Webの検出統計によると、2024年に検出された脅威の合計数は2023年と比較して26.20%増加し、ユニークな脅威の数も51.22%増加しています。最も多く検出された脅威はAutoItスクリプト言語で書かれたトロイの木馬となりました。このトロイの木馬は別のマルウェアと一緒に拡散されて、それらの検出を困難にするよう設計されています。また、さまざまな悪意のあるスクリプトやアドウェア型トロイの木馬も多く検出されています。

JS.Siggen5.44590: パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。
Trojan.AutoIt.1224
Trojan.AutoIt.1131
Trojan.AutoIt.1124
Trojan.AutoIt.1222: AutoItスクリプト言語で記述された悪意のあるアプリ Trojan.AutoIt.289 の、パックされたバージョンの検出名です。マイニング型トロイの木馬やバックドア、自己増殖型モジュールなど複数の悪意のあるアプリグループの一部として拡散されます。 Trojan.AutoIt.289 はメインのペイロードの検出を困難にする、さまざまな悪意のある動作を実行します。
Trojan.StartPage1.62722: ブラウザ設定のホームページを変更する悪意のあるプログラムです。
Trojan.BPlug.3814: WinSafeブラウザ拡張機能の悪意のあるコンポーネントの検出名です。このコンポーネントはブラウザに迷惑な広告を表示させるJavaScriptファイルです。
VBS.KeySender.6: mode extensions、 разработчика、 розробника というテキストを含むウィンドウを無限ループで検索し、Escapeキー押下イベントを送信してそれらを強制的に閉じる悪意のあるスクリプトです。
BAT.AVKill.37: 悪意のあるプログラム Trojan.AutoIt.289 のコンポーネントです。別の悪意のあるコンポーネントを起動し、Windowsタスクスケジューラを使用してシステム起動時にそれらが自動実行されるようにします。また、Microsoft Defenderの除外にそれらを追加します。
Trojan.Unsecure.7: Windowsに搭載されているAppLockerのポリシーを使用してアンチウイルスやその他のソフトウェアの起動をブロックするトロイの木馬です。

2024年にメールトラフィック内で最も多く検出された脅威は、さまざまな悪意のあるスクリプトとあらゆる種類のトロイの木馬(バックドア、マルウェアダウンローダーやドロッパー、スパイウェア機能を備えたトロイの木馬、仮想通貨をマイニングするトロイの木馬など)となりました。また、ポピュラーなWebサイトのものを模倣した偽のログインフォームとして送られることの多いフィッシングドキュメント、ワーム、Microsoft Officeドキュメントの脆弱性を悪用する悪意のあるアプリも多く拡散されています。

JS.Siggen5.44590: パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。
JS.Inject: JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。
LNK.Starter.56: 特殊なショートカットの検出名です。このショートカットはUSBフラッシュドライブなどのリムーバブルメディアを通じて拡散され、ユーザーを騙して自身の動作を隠すためのデフォルトのディスクアイコンを持っています。起動されると、ショートカット自体と同じドライブにある隠しディレクトリから悪意のある VBS スクリプトを実行します。
Win32.HLLW.Rendoc.3: 他の拡散経路に加えてリムーバブルメディア経由でも拡散されるネットワークワームです。
Exploit.CVE-2018-0798.4: Microsoft Officeソフトウェアの脆弱性を悪用し、攻撃者が任意のコードを実行できるようにするエクスプロイトです。
Trojan.AutoIt.1122: AutoItスクリプト言語で記述された悪意のあるアプリ Trojan.AutoIt.289 の、パックされたバージョンの検出名です。マイニング型トロイの木馬やバックドア、自己増殖型モジュールなど複数の悪意のあるアプリグループの一部として拡散されます。 Trojan.AutoIt.289 はメインのペイロードの検出を困難にする、さまざまな悪意のある動作を実行します。
Trojan.SpyBot.699: マルチモジュールなバンキング型トロイの木馬です。感染したデバイス上でサイバー犯罪者がさまざまなアプリケーションをダウンロード・起動し、任意のコードを実行することを可能にします。
VBS.BtcMine.13
VBS.BtcMine.12: 仮想通貨を密かにマイニングするよう設計された、VBSで書かれた悪意のあるスクリプトです。

暗号化ランサムウェア

2024年には、暗号化ランサムウェアに感染したユーザーからDoctor Webのテクニカルサポートに寄せられるファイルの復号化リクエスト数に2023年と比較して35.05%の減少がみられました。以下のグラフは2024年におけるリクエスト数の推移を表しています。

2024年に最も多く検出された暗号化ランサムウェア：

Trojan.Encoder.35534 (リクエストの13.13%): Mimicとしても知られる暗号化トロイの木馬です。Windowsコンピューター上のファイルを高速で検索できる正規ソフトウェア「Everything」のeverything.dllライブラリを使用します。
Trojan.Encoder.3953 (リクエストの12.10%): 複数のバージョンや亜種を持つ暗号化トロイの木馬です。CBCモードでAES-256を使用してファイルを暗号化します。
Trojan.Encoder.26996 (リクエストの7.44%): STOPランサムウェアとして知られる暗号化トロイの木馬です。サーバーからプライベートキーを取得しようと試み、失敗した場合はハードコードされたプライベートキーを使用します。ストリーム暗号Salsa20を使用してファイルを暗号化します。
Trojan.Encoder.35067 (リクエストの2.21%): Macopとしても知られる暗号化トロイの木馬です( Trojan.Encoder.30572 はこのトロイの木馬のまた別の亜種の１つです)。サイズは30～40KB程度と小さく、トロイの木馬にサードパーティの暗号化ライブラリが組み込まれておらず、暗号化とキーの生成にCryptoAPIのみを使用するということがその一因となっています。ファイルの暗号化にはAES-256アルゴリズムを使用し、キー自体はRSA-1024を使用して暗号化されます。
Trojan.Encoder.37369 (リクエストの2.10%): #Cylanceランサムウェアの数ある亜種の1つです。Curve25519 (X25519) 楕円曲線キー交換スキームを使用したChaCha12アルゴリズムでファイルを暗号化します。

インターネット詐欺

2024年を通して、ユーザーを騙すために従来のシナリオと新たなシナリオの両方を駆使するサイバー詐欺師の活発な活動が、Doctor Webのインターネットアナリストによって確認されました。ロシアでは、さまざまな種類の詐欺サイトを使用したスキームが引き続き最も多くみられる手口となっています。それらの中には、オンラインストアやソーシャルネットワークのサイトに偽装してプロモーションや賞金等が当たる抽選を提供するものがありました。ユーザーは必ず「当選」するようになっており、存在しない賞金や賞品を受け取るために「手数料」を支払うよう求められます。

A存在しない賞金の抽選に参加するようユーザーを誘う、ロシアのオンラインストアと関連があると偽る詐欺サイト

「運試し」をして高額賞金やその他のギフトを獲得するよう勧める偽のソーシャルネットワークサイト

電子機器や家電製品などのオンラインストアを模倣し、商品を割引価格で購入できると提案する詐欺サイトも引き続き多く確認されています。このようなサイトでは、「注文」したユーザーに対しインターネットバンキングかバンクカードで支払うよう求めるものが一般的でした。ところが2024年には支払い方法としてFaster Payments System(即時決済システム)が使われ始めています。

大幅な割引価格で商品を提供する、家電量販店のサイトを模倣した偽サイト

「注文」の支払い方法の1つとしてFaster Payments System(即時決済システム)が提示される

「無料」の宝くじを提供するとうたう詐欺サイトも依然として多く見られます。抽選はオンラインで行われ、常にユーザーが「当選」するようになっています。このスキームでも、ユーザーは賞金を「受け取る」ために「手数料」を支払うよう求められます。

ユーザーは宝くじで314,906ルーブル当選したが、賞金を「受け取る」ために「手数料」を支払う必要がある

金融関連の偽サイトも未だに後を絶ちません。政府や民間企業からの金銭の受け取り、石油・ガス部門への投資、金融リテラシーのトレーニング、利益が保証されているとする「独自の」自動売買システムや「検証済み」の戦略を用いた株取引などのトピックが人気です。また、ユーザーの関心を引くために有名人の名前を使う手口も確認されています。以下の画像はそのようなサイトの例です。

「独自のWhatsAppプラットフォームで毎月最大 10,000ユーロ稼ぐ」よう勧める詐欺サイト

月14,000ドル稼ぐことができるとされる「成功できる秘密のプラットフォームを教える」ロシアの歌手シャーマン

投資サービスへのアクセスを提供し、15万ルーブルの収入を約束する石油・ガス会社の偽サイト

銀行の実際にある投資サービスを模倣した詐欺サイト

同時に、新たなスキームも発見されています。その一例が、サービス品質に関するアンケートに回答して報酬を受け取るようユーザーに持ち掛ける、大手企業のものを装った偽サイトです。それらの中には金融機関の偽サイトも含まれており、それらのサイトでユーザーは氏名、銀行口座に登録した携帯電話番号、バンクカード番号などの個人情報を提供するよう求められます。

「サービス品質向上」のためのアンケートに協力すれば6,000ルーブルもらえると主張する、銀行を装った偽サイト

このような偽サイトは世界各国で確認されています。下の画像は経済的に有望な分野に投資することで配当金を得ることができると約束する、欧州のユーザーを標的とした詐欺サイトです。

次の画像は、「Googleの新しい投資プラットフォーム」であると偽り、1000ユーロ以上稼ぐことができると宣伝する詐欺サイトです。

スロバキアのユーザーを標的とした詐欺サイトは、投資サービスで「月に19万2,460ドル以上稼ぐ」ことができると勧誘していました。

アゼルバイジャンの石油・ガス会社を装った偽サイトでは、簡単なアンケートに回答してサービスにアクセスするだけで月1000マナト以上の収入を得られるとうたっています。

年末年始には、毎年ホリデーシーズンに合わせた内容の詐欺サイトが増加します。下の画像は、ロシアのユーザーにお年玉をプレゼントするとうたう偽の仮想通貨取引所サイトです。

また別のサイトは投資会社を装い、ホリデーギフトとして支払いを受け取ることができるとしてユーザーを誘っていました。

下の画像は、「新年のオファー」の一環として、独立記念日を祝した高額金をカザフスタンのユーザーに提供するとうたう詐欺サイトです。

2024年にはその他のフィッシングサイトも発見されており、オンライン学習サービスを装った偽サイトなどがありました。以下の画像は、プログラミングのオンラインコースを提供する正規サイトを模倣した詐欺サイトです。ユーザーは「カウンセリングを受ける」ために連絡先を入力するよう促されます。

オンライン学習サービスの本物のサイトを模倣した偽サイト

Telegramアカウントの乗っ取りを目的としたフィッシングサイトも引き続き発見されており、さまざまなオンライン投票プラットフォームを装ったものが登場しました。その一例が「子どもお絵描きコンテスト」に投票するためのサイトです。ユーザーは投票の「確定」と確認コード受け取りのためと称して携帯電話番号を提供するよう求められます。受け取った確認コードをこの偽サイトで入力してしまうと、詐欺師にアカウントへのアクセスを許可してしまうことになります。

子どもお絵描きコンテストに「投票」するよう促すフィッシングサイト

同じくTelegramアカウントの乗っ取りを目的とした別のフィッシングサイトも発見されています。Telegramの有料サブスクリプションサービスであるTelegramプレミアムに「無料」で加入できるとうたい、アカウントにログインするようユーザーに促すというものです。ユーザーが入力したデータはサイバー犯罪者に送信され、アカウントの乗っ取りに使用されます。これらフィッシングサイトへのリンクを拡散する媒体として当のTelegramも利用されているというのは特筆すべき点です。多くの場合、メッセージ内に記載されているアドレスは実際に開くサイトのアドレスとは別のものになっています。

Telegram内のフィッシングメッセージ。Telegramプレミアムのサブスクリプションを「アクティブ化」するためにリンクを開くようユーザーに要求している。記載されているリンクは実際に開くサイトのURLとは異なっている。

メッセージ内のリンクをクリックするとフィッシングサイトが開く

ユーザーがボタンをクリックすると本物そっくりのログイン画面が表示される

詐欺サイトへのリンクの拡散にはスパムメールも使用されています。2024年を通して多くのスパムキャンペーンが確認され、その中には日本のユーザーを狙った大量メールによるフィッシングキャンペーンもありました。三井住友カードをかたってカードの利用について通知し、「支払い金額」を確認するためにメール内のリンクをクリックするよう誘導するというものです。このリンクをクリックするとフィッシングサイトに飛ばされます。

三井住友カードを装い、支払い金額を確認するよう促すフィッシングメール

同じく日本のユーザーを標的にカードの請求額案内を装った別のメールの拡散も確認されています。メール内にはフィッシングサイトへのリンクが一見無害に見える形で巧妙に隠されています。

スパムメール内には本物の銀行サイトのアドレスが記載されているが、ユーザーがクリックすると偽のサイトが開かれる

欧州のユーザーを狙ったスパムキャンペーンも確認されています。ベルギーのユーザーは、銀行口座が「ブロック」されていると通知するフィッシングメールの標的となりました。ユーザーは「ブロック解除」するためにリンクをクリックするよう促されますが、このリンクは偽サイトにつながっています。

銀行口座が「ブロック」されているとしてユーザーの不安を煽るフィッシングメール

英語圏のユーザーを標的としたスパムキャンペーンもあり、その一例が、ユーザーに対する多額の送金があったと伝えて受領の「確認」を行うよう促す迷惑メールです。メール内のリンクをクリックすると、本物のインターネットバンキングサイトに酷似したフィッシングサイトが開き、偽のログインフォームが表示されます。

1,218.16 米ドルの受け取りを確認するよう促すスパムメール

ロシアのユーザーに対しては、前述のフィッシングサイトにユーザーをおびき寄せるためのスパムメールが活発に拡散されました。よく見られるトピックはオンラインストアからの賞品や割引、無料の宝くじ、投資サービスへのアクセスです。以下の画像はそのようなスパムメールの例です。

オンラインストアを装い、「賞品の抽選」に参加するよう勧めるメール

銀行を装い、「成功する投資家になる」よう勧めるメール

家電量販店を装い、電化製品を割引価格で購入できるプロモコードをアクティベートするよう勧めるメール

モバイルデバイス

Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)によって収集された検出統計によると、 2024年には Android.HiddenAds トロイの木馬がマルウェア検出数全体の3分の1以上を占め、2023年に続いて再び最も多く検出されたAndroidマルウェアとなりました。このトロイの木馬は感染させたデバイス上で自らの存在を隠し、広告を表示させます。 Android.HiddenAds ファミリーの中で最も多く検出されたのは Android.HiddenAds.3956、 Android.HiddenAds.3851、 Android.HiddenAds.655.origin、 Android.HiddenAds.3994 でした。インストール後に自動実行する機能を備えた Android.HiddenAds.Aegis の亜種も多く検出されています。そのほか、さまざまな詐欺スキームに用いられる Android.FakeApp ファミリーに属するトロイの木馬やスパイウェア型トロイの木馬 Android.Spy も広く拡散されました。

最も多く検出された望ましくないアプリケーションは、 Program.FakeMoney、 Program.CloudInject、 Program.FakeAntiVirus ファミリーに属するアプリとなっています。 Program.FakeMoneyはさまざまなタスクを完了することで仮想報酬を得ることができるとうたうアプリで、この報酬は現金化して引き出すことができるとされています。ただし、実際にはユーザーが報酬を手にすることはありません。 Program.CloudInject はクラウドサービスCloudInjectを使用して改造されたアプリです。改造過程で、危険な権限やユーザーが目的をコントロールできないコードが追加されています。 Program.FakeAntiVirus はアンチウイルスの動作を模倣して存在しない脅威の検出を通知し、検出された問題を「修復」するために製品の完全版を購入するよう促すプログラムです。

最も多く検出されたリスクウェアは2023年に引き続きユーティリティ Tool.SilentInstaller となりました。これらのツールはAndroidアプリをインストールせずに実行できるようにするもので、リスクウェア検出数全体の3分の1以上を占めていました。NP Managerユーティリティを使用して改造されたアプリも多く検出されました( Tool.NPMod として検出されます)。このユーティリティは特殊なモジュールをアプリに埋め込み、改造されたアプリがデジタル署名の検証をバイパスすることを可能にします。 Tool.Packer.1.origin パッカーによって保護されたアプリや Tool.Androlua.1.origin も検出数の上位に入っています。 Tool.Androlua.1.origin はインストールされたAndroidアプリの改変や、悪意のあるものとなりうるLuaスクリプトの実行を可能にするフレームワークです。

最も多く検出されたアドウェアは新たな Adware.ModAd ファミリーで、アドウェア検出数全体の半分近くを占めました。これらはWhatsAppメッセンジャーのMod(改造版)で、広告リンクを読み込むための特定のコードが機能に挿入されています。 Adware.Adpush ファミリーが2位につけ、新たなファミリーである Adware.Basement が3位となりました。

Android向けバンキング型トロイの木馬の活動は2023年と比較してわずかに増加しています。同時に、マルウェアを分析や検出から保護するための手法が多く用いられるようになっていることがDoctor Webのスペシャリストによって明らかになりました。これらの手法は、ZIPアーカイブ形式(AndroidアプリのAPKファイルはZIP形式をベースにしています)やアプリの設定ファイルAndroidManifest.xml に手を加えるなどといったもので、多くの場合バンキング型トロイの木馬で使用されています。

2024年にはスパイウェア型トロイの木馬 Android.SpyMax がバンキング型トロイの木馬としても広く拡散されていたということは特筆に値します。主に標的となったのはロシアのAndroidユーザー( Android.SpyMax 検出数全体の46.23%)で、加えてブラジル(35.46%)とトルコ(5.80%)のユーザーに対する攻撃も多く確認されました。

Google Playでは2024年を通して200を超える脅威が発見され、それらは合計で2,670 万件以上ダウンロードされていました。検出されたそれら脅威の中には、ユーザーを有料サービスに登録するトロイの木馬やスパイウェア型トロイの木馬、詐欺アプリやアドウェアアプリなどがありました。また、2024年にはAndroid TVボックスに対する新たな攻撃もDoctor Webのウイルスアナリストによって発見されています。バックドア Android.Vo1d が197か国で約130万台のデバイスを感染させていたというものです。このトロイの木馬はシステムストレージ領域に自身のコンポーネントを置き、攻撃者のコマンドに応じてサードパーティアプリをインターネットから密かにダウンロードしてインストールします。

2024年のモバイルデバイスを取り巻くセキュリティ脅威の状況についての詳細はこちらのレビューをご覧ください。

今後の動向と展望

2024年もまた、今日のサイバー脅威がいかに多様化しているかということを改めて見せつけられた年となりました。悪意のあるアクターは民間企業や政府機関などの大規模な組織と個人ユーザーの両方を狙っています。Doctor Webが調査を行った標的型攻撃では多くの悪意のあるプログラムが使用されており、それらの機能を分析した結果から、ウイルス作成者は悪意のあるキャンペーンの実行手口や悪意のあるツールの開発手法を進化させる機会を常に虎視眈々とうかがっていることが見てとれます。新たに登場した手法はいずれより多くの脅威に用いられるようになり、広く拡散されるようになることは避けられません。このことを踏まえると、2025年には悪意のあるアクティビティを隠すためにeBPFテクノロジーを悪用するトロイの木馬がますます多く登場する可能性があると考えられます。また、エクスプロイトを使用するものを含め、新たな標的型攻撃の発生も予想されます。

サイバー犯罪者の主要な目的の1つは違法に利益を得ることであるため、2025年にはバンキング型トロイの木馬や広告を表示させるトロイの木馬の活動が増加し、さらに、スパイウェア機能を備えたマルウェアもより多く拡散される可能性があります。

WindowsユーザーのみでなくLinuxやmacOSなどの他のOSユーザーもまた、攻撃の標的となるでしょう。モバイル脅威の拡散も続き、Androidデバイスのユーザーは中でも特に新たなスパイウェアやバンキング型トロイの木馬、広告を表示させる悪意のある／望ましくないアプリの出現に気を付ける必要があります。Android TVやAndroid TVボックスセットなどを含むAndroid OS搭載デバイスを感染させようとする新たな攻撃も試みられると予想されます。Google Playに新たな脅威が出現する可能性も極めて高いでしょう。

仮想通貨マイニングキャンペーンに使用されるステガノグラフィ

Mon, 27 Jan 2025 12:04:03 GMT

2025年1月27日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストはテレメトリデータの分析中にマルウェアサンプルを特定し、詳細な調査を行った結果、それらは仮想通貨Moneroをマイニングするアクティブなキャンペーンに使用されているコンポーネントであることが明らかになりました。このキャンペーンは一連のマルウェアチェーンとして実行されているという点で際立っています。そのうちの2つはBMP画像ファイルから悪意のあるペイロードを抽出するスクリプトの実行をベースに構成されています。

このキャンペーンは悪意のあるVBscriptを実行する.NETアプリケーション Services.exe がDoctor Webのアナリストによって初めて発見された2022年に始まったものとみられます。このスクリプトは、攻撃者のサーバーに接続して応答として送信されたスクリプトとファイルを実行するバックドアとして機能します。その結果として、拡張子がps1からtxtに変更されたPowerShellスクリプトである悪意のあるファイル ubr.txt が被害者のコンピューター上にダウンロードされていました。

ubr.txt スクリプトは、侵害したマシン上に仮想通貨マイナーがインストールされているかどうかをチェックし、マイナーが存在した場合はそれを攻撃者のものに置き換えます。ここで ubr.txt スクリプトによってインストールされていたのは、ハッカーが仮想通貨Moneroをマイニングするために使用するマイナーSilentCryptoMinerとその設定でした。

Doctor Webでは、このマイナーが使用された攻撃についてこれまでにも記事を掲載しています。SilentCryptoMinerは、その設定の容易さ、異なる種類の仮想通貨をマイニングし診断ユーティリティによる検知を逃れる高度な機能、そしてボットネット内のすべてのマイナーをWebパネルからリモート管理できるという特徴によって攻撃者を惹きつけています。

このキャンペーンでは、マイナーファイルはWeb会議アプリケーションZoom（ ZoomE.exe および ZoomX.exe ）やWindowsサービス（ Service32.exe および Service64.exe ）などのさまざまなソフトウェアのコンポーネントに偽装していました。これら悪意のあるファイルには複数のセットがあり異なる名前が付いていますが、それらはすべて同じタスク（他のマイナーを削除、新しいマイナーをインストール、インストールしたマイナーにアップデートを配信）を実行します。

PowerShellスクリプトであるubr.txt

さらに、マイナーは仮想通貨のマイニング設定を含んだ m.txt ファイルをホストする getcert[.]net ドメインにアクセスします。このドメインは他の感染チェーンでも使用されています。

m.txtファイルに含まれているマイナーの設定

キャンペーンが進行するうちに、その攻撃手法はより興味深いものへと変化していきました。すなわち、ステガノグラフィが組み込まれるようになったのです。

ステガノグラフィは、ある情報を別の情報の中に埋め込んで隠す手法です。暗号化されたデータが目を引く可能性のある暗号化手法と異なり、ステガノグラフィは情報を画像などの中に目立たず密かに隠蔽することが可能です。多くのサイバーセキュリティエキスパートは、防御を回避する目的で今後ステガノグラフィが多く使用されるようになると考えています。

左の画像（出典：Marek Piwnicki）にはDr.Webロゴの画像が隠されている

より新しい2つ目の攻撃チェーンではPowerShellスクリプト Async.ps1 を実行するAmadeyトロイの木馬が使用されています。このスクリプトは正規の画像ホスティングサイト imghippo.com からBMP画像をダウンロードし、ステガノグラフィアルゴリズムによってそれらの画像から2つの実行ファイルが抽出されます。スティーラー Trojan.PackedNET.2429 と、以下の動作を実行するペイロードです。

管理者のUACプロンプトを無効にする
組み込みのウイルス対策機能Windows Defenderに多数の除外を追加する
Windowsの通知を無効にする
\Microsoft\Windows\WindowsBackup\に「User」という名前の新しいタスクを作成する

Async1.psスクリプトの内容

タスクは実行中に攻撃者のドメインにアクセスし、このドメインのDNS TXTレコードにペイロードへのアドレスが含まれています。BMP画像を含むアーカイブがダウンロードされた後に解凍され、以下のファイルが実行されます。

Cleaner.txt：他のすべてのマイナーを削除するPowerShellスクリプト。
m.txt：m.Bmp画像と IV.Bmp画像からペイロードを抽出するPowerShellスクリプト。画像内に隠されているペイロードはSilentCryptoMinerとそれを実行するインジェクターです。
Net.txt：ドメインwindowscdn[.]siteとbuyclients[.]xyzからDNS TXTレコードを読み込むスクリプト。このレコードにはペイロードへのリンクraw.githack[.]comが含まれています。

DNS TXTレコードは標準的なDNSレコードを拡張したもので、ドメインの検証に役立つデータが含まれています。ただし、今回のケースでペイロードリンクが含まれていたように、ドメイン所有者はそこにあらゆるデータを含めることが可能です。

悪意のある画像を含むアーカイブの内容

マイナーのモジュールは絶えず進化を続けています。最近では、悪意のある画像のホスティング先に正規リソースが、そしてペイロードの保存先にGitHubプラットフォームが使用されるようになっています。さらに、マルウェアがサンドボックスや仮想マシン内で実行されていないかどうかをチェックするモジュールも確認されています。

実行中のアプリケーションの名前を、サイバーセキュリティリサーチャーによって一般的に使用されるツールの名前と照らし合わせてチェックするモジュール

マイナーの設定内で発見されたウォレットの1つは2022年5月に作成されたもので、これまでに340 XMRが入金されています。現在、仮想通貨Moneroの為替レートには大幅な変動がみられるため、実際に攻撃者が手にする利益は65,000～70,000米ドルになると考えられます。ハッシュレートカーブが波形を描いていることから、ボットネットが定期的にオンとオフを繰り返していることが分かり、このマイニングキャンペーンには主に同じタイムゾーンにいる一般のユーザーが関わっているものと考えられます。平均ハッシュレートは1秒あたり330万ハッシュで、侵害されたマシンは約40時間ごとに1XMRの利益を攻撃者にもたらしていることになります。

このキャンペーンはステガノグラフィを用いたサイバー脅威における氷山の一角にすぎず、デジタル空間で常に警戒を怠らないことの重要性を改めて強調するものです。Doctor Webからの推奨事項はこれまでと変わりません。信頼できるソースからのみソフトウェアをインストールし、疑わしいリンクをクリックせず、インターネットからファイルをダウンロードする際はアンチウイルス保護を無効にしないようにしてください。

攻撃チェーン

Indicators of compromise(侵害の痕跡) ※英語

SilentCryptoMinerの詳細 ※英語

PowerShell.Starter.98の詳細 ※英語

PowerShell.DownLoader.1640の詳細 ※英語

Trojan.PackedNET.2429の詳細 ※英語

VBS.DownLoader.2822の詳細 ※英語

2024年第4四半期のモバイルマルウェアレビュー

Fri, 27 Dec 2024 10:38:21 GMT

2024年12月27日

株式会社Doctor Web Pacific

モバイルデバイス向けDr.Web Security Spaceによって収集された検出統計によると、2024年第4四半期に最も多く検出された脅威は広告を表示させるトロイの木馬 Android.HiddenAds でした。詐欺スキームに用いられるトロイの木馬 Android.FakeApp が2番目に多く検出された脅威となり、さまざまな悪意のあるタスクを実行する機能を備えたトロイの木馬Android.Siggenファミリーが3番目に続いています。

Google Playでは第4四半期を通して多くの脅威が発見されました。それらの中には Android.FakeApp トロイの木馬が多数含まれていたほか、ユーザーを有料サービスに登録させる Android.Subscription ファミリーと Android.Joker ファミリーに属するトロイの木馬もみられました。また、アドウェア型トロイの木馬 Android.HiddenAds の新たな亜種も検出され、高度なソフトウェアパッカーで保護された悪意のあるアプリも拡散されました。

2024年第4四半期の主な傾向

アドウェア型トロイの木馬 Android.HiddenAds と偽アプリ Android.FakeApp の活動が活発
Google Playから悪意のあるアプリが多数拡散される

モバイルデバイス向けDr.Web Security Spaceによる統計

Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.HiddenAds.655.origin
Android.HiddenAds.657.origin: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.Packed.57083: ApkProtectorパッカーによって保護された悪意のあるアプリの検出名です。バンキング型トロイの木馬やスパイウェア、その他の悪意のあるソフトウェアが含まれます。
Android.Click.1751: サードパーティによるWhatsAppメッセンジャーのMod（改造版）に組み込まれ、Googleのライブラリクラスに偽装したトロイの木馬です。ホストアプリケーションが使用されている間にC&Cサーバーの1つに接続し、そこから2つのURLを受け取ります。1つはロシア語圏のユーザーを対象としたもので、もう1つはそれ以外のユーザーを対象としています。次に、同じくリモートサーバーから受け取った内容のダイアログボックスを表示させ、ユーザーが確認ボタンをクリックすると該当するリンクをブラウザで開きます。

Program.FakeMoney.11: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（ Tool.CloudInject としてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Tool.NPMod.1: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.SilentInstaller.14.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.LuckyPatcher.1.origin: Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。
Tool.Androlua.1.origin: スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには Program.FakeMoney.11 と同じコードベースが使用されています。
Adware.Fictus.1.origin: net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。
Adware.AdPush.3.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。

Google Play上の脅威

2024年第4四半期には、Doctor WebのマルウェアアナリストによってGoogle Play上で60を超える悪意のあるアプリが発見されました。それらの多くは Android.FakeApp ファミリーに属するトロイの木馬で、その一部は金融関連アプリ、教材やテキスト、そして日記帳やメモ帳などのソフトウェアを装って拡散されていました。これら偽アプリの主な目的は詐欺サイトを開くことです。

Android.FakeAppファミリーに属する他の多くのトロイの木馬と同様に詐欺サイトを開くアプリ「QuntFinanzas」と「Trading News」

また別の Android.FakeApp トロイの木馬はゲームを装って拡散されていました。これらトロイの木馬はオンラインカジノやブックメーカーのサイトを開く場合があります。

トロイの木馬の機能が組み込まれたゲームの例：「Bowl Water」と「Playful Petal Pursuit」

同じくさまざまなアプリに潜んでオンラインカジノのサイトを開くことができるトロイの木馬 Android.FakeApp.1669 の新たな亜種も発見されています。この Android.FakeApp.1669 は、表示させるサイトのアドレスを悪意のあるDNSサーバーのTXTファイルから取得するという点で興味をひくものとなっています。また、このトロイの木馬は特定のプロバイダ経由でインターネットに接続している場合にのみその姿を現します。

トロイの木馬 Android.FakeApp.1669 の新たな亜種の例：テキストツールに偽装したアプリ「WordCount」、カフェやレストランでの料金の支払いやチップの計算を手助けするアプリを装った「Split it: Checks and Tips」

アドウェア型トロイの木馬 Android.HiddenAds に属する新たな亜種もGoogle Play上で複数発見されました。これらトロイの木馬は感染したデバイス上で自らの存在を隠します。

写真編集ソフトウェア「Cool Fix Photo Enhancer」には広告を表示させるトロイの木馬Android.HiddenAds.4013が潜んでいた

また、高度なソフトウェアパッカーで保護されたトロイの木馬（ Android.Packed.57156、 Android.Packed.57157、 Android.Packed.57159 など）も発見されています。

アプリ「Lie Detector Fun Prank」と「Speaker Dust and Water Cleaner」はソフトウェアパッカーで保護されたトロイの木馬だった

ユーザーを有料サービスに登録するよう設計されたマルウェア Android.Subscription.22 も検出されました。

写真を編集する代わりにユーザーを有料サービスに登録する「InstaPhoto Editor」

そのほか、同じくユーザーを有料サービスに登録させる Android.Joker ファミリーに属するトロイの木馬も再び拡散されました。

ユーザーを密かに有料サービスに登録させようとしていたSMSメッセンジャー「Smart Messages」とサードパーティ製キーボード「Cool Keyboard」

Indicators of compromise(侵害の痕跡)※英語

2024年第4四半期のウイルスレビュー

Fri, 27 Dec 2024 10:06:28 GMT

2024年12月27日

株式会社Doctor Web Pacific

Dr.Webアンチウイルスの検出統計によると、2024年第4四半期に検出された脅威の合計数は第3四半期と比較して1.53%減少し、一方でユニークな脅威の数は94.43%増加しました。最も多く検出された脅威はアドウェアプログラムとアドウェア型トロイの木馬、悪意のあるスクリプト、別の脅威と一緒に拡散されてそれらの検出を困難にする（さまざまな悪意のある動作を実行することで）マルウェアとなっています。メールトラフィック内では、悪意のあるスクリプト、アドウェア型トロイの木馬、仮想通貨をマイニングするトロイの木馬が最も多く検出されました。また、スパイウェア機能を備えた悪意のあるアプリの活動にも増加がみられました。

最も多く拡散された暗号化ランサムウェアは Trojan.Encoder.35534、Trojan.Encoder.35067、Trojan.Encoder.26996 となっています。

Androidデバイスでは、広告を表示させるトロイの木馬 Android.HiddenAds が引き続き最も多く検出された脅威となりました。そのほか、新たな脅威も多数発見されています。

2024年第4四半期の主な傾向

アドウェアプログラムとアドウェア型トロイの木馬が引き続き最も多く検出された脅威となる
前四半期と比較してユニークな脅威の数が増加
メールトラフィック内でスパイウェア型トロイの木馬の活動が増加
Google Playからトロイの木馬アプリが多数拡散される

Doctor Webサーバーによる統計

2024年第4四半期に最も多く検出された脅威：

Adware.Downware.20091: 海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。
VBS.KeySender.6: mode extensions, разработчика и розробникаというテキストを含むウィンドウを無限ループで検索し、Escapeキー押下イベントを送信してそれらを強制的に閉じる悪意のあるスクリプトです。
JS.Siggen5.44590: パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。
Trojan.BPlug.4210: WinSafeブラウザ拡張機能の悪意のあるコンポーネントの検出名です。このコンポーネントはブラウザに迷惑な広告を表示させるJavaScriptファイルです。
Trojan.Starter.8242: マイニングトロイの木馬を起動させる悪意のあるプログラムです。

メールトラフィック内で検出された脅威の統計

JS.Siggen5.44590: パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。
JS.Inject: JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。
LNK.Starter.56: 特殊なショートカットの検出名です。このショートカットはUSBフラッシュドライブなどのリムーバブルメディアを通じて拡散され、ユーザーを騙して自身の動作を隠すためのデフォルトのディスクアイコンを持っています。起動されると、ショートカット自体と同じドライブにある隠しディレクトリから悪意のある VBS スクリプトを実行します。
Win32.HLLW.Rendoc.3: 他の拡散経路に加えてリムーバブルメディア経由でも拡散されるネットワークワームです。
Trojan.Fbng.123: FormBookとしても知られるスパイウェア型トロイの木馬です。感染したデバイスからさまざまなデータを盗むよう設計されています。Webブラウザやメールクライアント、オンラインメッセンジャー、およびその他のソフトウェアに保存されているパスワードを盗み取り、Webフォームに入力されたデータを傍受し、キーボード入力を監視し（キーロガー機能を実行）、スクリーンショットを撮ります。また、バックドアとしての機能も備えており、別のプログラムをダウンロードして実行し、さまざまなコマンドを実行します。

暗号化ランサムウェア

2024年第4四半期にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は、2024年第3四半期と比較して18.96%減少しました。

Doctor Webのテクニカルサポートサービスに寄せられた復号化リクエスト数の推移：

2024年第4四半期に最も多く確認された暗号化ランサムウェア（ユーザーからのリクエストに占める割合）：

Trojan.Encoder.35534 — 22.63% of user requests
Trojan.Encoder. 35067 — 3.91% of user requests
Trojan.Encoder.26996 — 3.35% of user requests
Trojan.Encoder.35209 — 3.07% of user requests
Trojan.Encoder.38200 — 3.07% of user requests

ネットワーク詐欺

2024年第4四半期も、投資で儲けることができるとしてユーザーを偽サイトに誘い込む詐欺スキームが引き続き横行しています。脅威アクターによって作成されたこれらのサイトでユーザーは投資サービスに「アクセス」するために個人情報を入力してアカウントに登録するよう求められますが、入力した情報は詐欺師の手に渡ります。このような詐欺サイトは世界中で確認されています。

世界銀行（World Bank）と提携しているとうたう、欧州のユーザーを標的とした詐欺サイト。経済的に有望な分野に投資することで配当金を得ることができると約束している。

投資サービスで「月に19万2,460ドル以上稼ぐ」ことができると勧誘する、スロバキアのユーザーを標的とした詐欺サイト

大手銀行や石油・ガス会社を装い「株で儲ける」よう持ちかける、アルメニアとモルドバのユーザーを標的とした詐欺サイト

アゼルバイジャンの石油・ガス会社を装った偽サイトでは、月1000マナト以上の収入を得られるとうたっている

「Googleの新しい投資プラットフォーム」であると偽り、アンケートに回答すれば1000ユーロ以上稼げるサービスにアクセスできると誘うサイト

ロシアのユーザーを標的に、月15万ルーブル以上の「安全な不労所得」を約束する詐欺サイト

詐欺師はこうしたサイトの内容を時節に乗じて変化させています。年末年始のホリデーシーズンに向けて「新年のプレゼント（お年玉）」をテーマにした詐欺が増加しており、それらの詐欺サイトは銀行や石油・ガス会社、仮想通貨取引所などを装っています。ロシアのユーザーを標的にした偽サイトの1つは「リスト」に応じて仮想通貨取引所から送金を受けることができるとうたい、自分が対象になっているかどうかチェックするためにアンケートに回答して個人情報を提供するよう要求するものでした。

ロシアのユーザーに「お年玉」をプレゼントするとうたう偽の仮想通貨取引所サイト

また別の偽サイトはカザフスタンのユーザーを標的に、ガス・石油会社から「新年のオファー」を受けることができるとうたっています。オファーの内容は独立記念日を祝して月に20万～100万テンゲを受け取ることができるというもので、ユーザーは支払いを「受け取る」ためにサイトで個人情報を入力して「申請」を送信する必要があります。

「新年のオファー」の一環として、独立記念日を祝した高額金をカザフスタンのユーザーに提供するとうたう詐欺サイト

2024年第4四半期には、ロシアの銀行を装った新たな偽サイトも出現しています。これらのサイトでユーザーはサービス品質に関するアンケートに回答して報酬を受け取るよう勧められ、そのために氏名、銀行口座に登録した携帯電話番号、バンクカード番号などの個人情報を提供するよう求められます。

本物の銀行サイトにそっくりの外観で、アンケートに回答して報酬を受け取るよう勧める偽サイトの例

アンケートに「回答」するために、ユーザーは個人情報をフォームに入力するよう求められる

また、プログラミングなどのオンライントレーニングを提供する詐欺サイトも発見されました。このサイトでは、興味のあるユーザーは「カウンセリングを受ける」ために連絡先を入力するよう促されます。

プログラミング講座をオンラインで提供するサイト。ユーザーは「カウンセリングを受ける」ために個人情報を入力するよう求められる。

Telegramアカウントの乗っ取りを目的としたフィッシングサイトも引き続き発見されています。2024年第4四半期には、さまざまなオンライン投票プラットフォームを装ったものが登場しました。その一例が「子どもお絵描きコンテスト」に投票するためのサイトです。ユーザーは投票を「確定」するために確認コードの送信先となる携帯電話番号を提供するよう求められますが、そうして受け取った確認コードをこの偽サイトで入力してしまうと、詐欺師にアカウントへのアクセスを許可してしまうことになります。

子どもお絵描きコンテストに投票するよう促す詐欺サイト

「投票集計システム」が表示され、「投票の確定」とワンタイムコード送信のために携帯電話番号を入力するよう要求される

ユーザーが受け取ったコードを入力すると、詐欺師にTelegramアカウントへのアクセスを許可してしまうことになる

非推奨サイト

モバイルデバイスを脅かす悪意のあるプログラムや望ましくないプログラム

モバイルデバイス向けDr.Web Security Spaceによって収集された検出統計によると、2024年第4四半期に最も多く検出された脅威は広告を表示させるトロイの木馬 Android.HiddenAds でした。次いで Android.FakeApp および Android.Siggen ファミリーに属する悪意のあるアプリとなっています。また、Google Payでは第4四半期を通して新たな脅威が多数発見されました。

2024年第4四半期のモバイルマルウェアに関連した注目すべきイベント：

アドウェア型トロイの木馬 Android.HiddenAds と偽アプリ Android.FakeApp の活動が活発
Google Playに新たな悪意のあるアプリが登場

2024年第4四半期のモバイルデバイスを取り巻くセキュリティ脅威の状況について、詳細はこちらのレビューをご覧ください。

マルウェアの最新トレンド：eBPFの悪用、意表を突いたマルウェア設定の保存場所、増加するカスタムのポストエクスプロイトツールの使用

Wed, 11 Dec 2024 11:32:03 GMT

2024年12月11日

株式会社Doctor Web Pacific

情報セキュリティインシデントの調査を行うなかで、Doctor Webのウイルスアナリストは進行中のキャンペーンを発見しました。このキャンペーンにはサイバー犯罪者が駆使する最新のトレンドが多数取り入れられています。

社内のコンピューターインフラストラクチャが侵害されている疑いがあるという内容の調査依頼をクライアントの一社から受けたDoctor Webは、同社から提供されたデータの分析を行いました。その間にもDoctor Webのウイルスアナリストによって同様のケースが複数特定され、このことから、アクティブなキャンペーンが進行中であるという結論が導き出されました。攻撃は主に東南アジア地域に集中しているように見られます。ハッカーは包括的なマルウェアスイート（マルウェア群）を使用し、それらを攻撃のあらゆる段階で導入しています。侵害されたマシンへの最初のアクセスがどのように取得されたのかを特定することは残念ながらできませんでしたが、Doctor Webでは残りの攻撃チェーンを再現することに成功しました。ここで目を引くのは、脅威アクターがeBPF（extended Berkeley Packet Filter）テクノロジーを悪用しているという点です。

eBPFは、Linuxオペレーティングシステムのネットワークサブシステムとそのプロセスに対するコントロールを向上させるために開発されたテクノロジーです。その著しいポテンシャルの高さが大手IT企業の関心を集め、GoogleやHuawei、Intel、Netflixなどの巨大企業が発足とほとんど同時にeBPF Foundationに加入し、さらなる開発を推進しています。一方で、ハッカーもまたeBPFに注目しています。

広範な低レベルの機能を提供するeBPFを悪意のあるアクターが利用することで、ネットワークアクティビティとプロセスを隠したり、機密情報を収集したり、ファイアウォールや侵入検知システムをバイパス（回避）したりすることが可能になります。その結果として検出に時間がかかるようになったマルウェアをAPT攻撃（Advanced Persistent Threat：高度な持続的標的型攻撃）に使用し、長期間にわたってハッカーの存在を隠すことができます。

これらの機能を悪用するために、攻撃者は侵害したマシン上に2つのルートキットをロードしていました。1つ目はeBPFルートキットで、カーネルモジュールとして実装されている別のルートキットの動作を隠すためのものです。この2つ目のルートキットが、システムにリモートアクセス型トロイの木馬をインストールできるようにします。このトロイの木馬の特徴的な機能はさまざまなトラフィックトンネリング技術をサポートしているというもので、これによりプライベートネットワークセグメントから攻撃者と通信し、コマンドの送信を隠すことができます。

総じて、悪意のあるeBPFソフトウェアは2013年以降ますます多く使用されるようになっており、このテクノロジーをベースにしたBoopkit、BPFDoor、Symbioteなどの複数のマルウェアファミリーの登場がそれを裏付けています。状況の悪化に拍車をかけているのが、繰り返し発見されるeBPFの新たな脆弱性です。現時点で217件の脆弱性が知られており、そのうちの約100件が2024年に発見されたものとなっています。

このキャンペーンのもう1つの顕著な特徴は、トロイの木馬の設定を保存する場所に関するいささか斬新なアプローチです。これまでは多くの場合、保存場所として専用のサーバーが使用されていましたが、現在ではパブリックプラットフォーム上に公然と保存されるケースが増えています。たとえば、今回発見されたマルウェアはGitHubなどのプラットフォームのほか、情報セキュリティに関する中国のブログにさえアクセスしていました。この方法を用いることで、侵害されたマシンからのトラフィックが注意を引かないようにすることが可能です。一見すると、マシンは安全なネットワークホストと通信しているように見えるからです。また、設定が保存されているコントロールサーバーへのアクセスを確保しなければならない必要もなくなります。一般に公開されているサービスをコントロールインフラストラクチャとして使用するという手法は目新しいものではありません。これまでにもDropbox、Google Drive、OneDrive、さらにはDiscordがハッカーに利用されています。ただしこれらのサービスは一部の国、特に中国では地域によって使用が制限されているため、確実性という点で劣ります。一方でGitHubへのアクセスはほとんどのプロバイダーで利用可能なままであり、そのためハッカーにとってより魅力的なプラットフォームとなっています。

GitLabとセキュリティブログに保存されている設定。面白いことに、後者ではハッカーがサードパーティのコードを復号化するために協力を求めています。このコードはその後、コマンドの1つの引数としてトロイの木馬に送信されます。

このキャンペーンにはまた別の特徴があります。それはトロイの木馬が、コンピューターへの不正アクセス後に用いられるソフトウェアスイートであるポストエクスプロイトフレームワークのコンポーネントとしても使用され始めているというものです。このようなフレームワーク自体は違法なものではなく、セキュリティ監査サービスを提供する企業によって使用されています。最も人気のあるツールは、多数のチェックを自動化することができ、内蔵の脆弱性データベースを持つCobalt StrikeとMetasploitです。

Cobalt Strikeによって作成されたネットワークマップの例（出典：公式サイト）

そしてもちろん、そのような機能は脅威アクターにとっても非常に魅力的です。2022年には不正利用のために改変されたクラック版のCobalt Strikeがリリースされ、ハッキング活動の急増を引き起こしました。地理的には、Cobalt Strikeインフラストラクチャは主に中国にあります。Cobalt Strikeの開発元はすべてのインストールを追跡することに注力しており、クラック版のサーバーは法執行機関によってたびたびシャットダウンされています。そのため現在では、そのままですぐに使用できる拡張機能をサポートしており、感染したホストとそのコントロールサーバー間のネットワーク通信を変更できる、オープンソースのフレームワークを使用する傾向がハッカーの間で強まっています。この手法を用いることで、ハッカーのインフラストラクチャが余計な注意を引かないようにすることができるためです。

今回の調査の結果、特定されたすべての脅威はDoctor Webのウイルスデータベースに登録され、悪意のあるeBPFソフトウェアを確実に検出するためにヒューリスティックルールも追加されました。

Trojan.Siggen28.58279の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語

仮想通貨の密かなマイニング・窃盗キャンペーンが2万8000人を超えるユーザーを襲う

Wed, 09 Oct 2024 12:11:00 GMT

2024年10月9日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、仮想通貨のマイニングと窃盗を行うマルウェアを拡散させる大規模なキャンペーンを確認しました。このキャンペーンでは、オフィスプログラムやゲームチャット、オンライントレードボットを装ってユーザーのコンピューターにトロイの木馬を侵入させています。

ユーザーから提供されたクラウドテレメトリの定期的な分析を行う過程で、Doctor WebウイルスラボのスペシャリストによってWindowsコンポーネント(StartMenuExperienceHost.exe、同じ名前を持つ正規のプロセスはスタートメニューを管理するものです)に偽装したプログラムの疑わしいアクティビティが検出されました。このプログラムはリモートネットワークホストと通信し、コマンドラインインタープリタcmd.exeを直ちに起動させるための着信接続を待ちます。

システムコンポーネントに偽装していたのはNcatネットワークユーティリティです。その正規の使用目的は、コマンドラインからネットワーク経由でデータを転送するというものです。この発見により、Dr.Webによって未然に防がれた、コンピューターをマルウェアに感染させようという試みを含むセキュリティイベントの一連の流れを再現することが可能となりました。

感染源は攻撃者によってGitHub上に作成された不正なWebページ(これはGitHubのルールで禁止されています)や動画の下にマルウェアを含んだリンクが記載されたYoutubeページです。ユーザーがリンクをクリックするとパスワード保護された自己解凍型アーカイブがダウンロードされます。アーカイブは暗号化されているため、アンチウイルスソフトウェアによって自動的にはスキャンされません。ダウンロードページ上でハッカーによって提供されるパスワードを入力すると、次の一時ファイルがコンピューター上の %ALLUSERSPROFILE%\jedist フォルダ内に展開されます。

UnRar.exe - RARアーカイブを解凍するアプリケーション
WaR.rar - RARアーカイブ
Iun.bat - Uun.batスクリプトを実行するタスクを作成し、コンピューターの再起動を開始して、自身を削除するスクリプト
Uun.bat - WaR.rarを解凍してそこに含まれるShellExt.dllファイルとUTShellExt.dllファイルを実行し、Iun.batによって作成されたタスクとjedistフォルダをそのコンテンツごと削除する難読化されたスクリプト

ShellExt.dllファイルはAutoIt言語インタープリタで、それ自体は悪意のあるものではありません。しかしながら、これは本物のファイル名ではありません。攻撃者はアーカイバ機能をWindowsの右クリックメニューに組み込むためのWinRARライブラリに偽装させるために、ファイル名をAutoIt3.exeからShellExt.dllに変えています。起動されると、インタープリタはUTShellExt.dllファイルをロードします。このファイルはUninstall Toolユーティリティのものであり、それ自体は完全に正規のもので有効なデジタル署名も持っていますが、攻撃者はこれに悪意のあるAutoItスクリプトを追加しています。このスクリプトは実行されると、高度に難読化された複数のファイルを含んだ自身のペイロードを解凍します。

AutoItはWindows操作を自動化するスクリプトとユーティリティを作成するためのプログラミング言語です。その使いやすさと幅広い機能によりさまざまなカテゴリーのユーザーに人気がありますが、その中にはマルウェア作成者も含まれています。一部のアンチウイルスプログラムはコンパイルされたAutoItスクリプトをすべて悪意のあるものとして検出します。

UTShellExt.dllファイルは次の動作を実行します。

プロセスリストをスキャンして、実行中のデバッグソフトウェアを検索します。スクリプトには約50の異なるデバッグユーティリティの名前が含まれており、このリストに含まれているプロセスが1つでも検出された場合、スクリプトは終了します。
デバッグソフトウェアが検出されなかった場合、攻撃を続行するために必要なファイルが侵害されたシステム上で展開されます。一部のファイルはネットワーク通信を実行するために必要な「クリーン」なファイルですが、残りのファイルは悪意のある動作を実行します。
Ncatを使用したネットワークアクセスを取得してBATおよびDLL ファイルを実行するためのシステムイベントを作成します。IFEOテクニックを使用してレジストリを改変することで、システム上に長く居座ることができるようにします。
Image File Execution Options(IFEO : イメージファイル実行オプション)はWindowsがソフトウェア開発者向けに提供している機能で、アプリケーション起動時に自動的にデバッガを起動させることを可能にするものです。一方で、システム上での足がかりを得るためにこのIFEOテクニックが攻撃者によって悪用される場合があります。その際、攻撃者はデバッガへのパスを悪意のあるファイルへのパスに置き換え、正規のアプリケーションが起動されるたびに悪意のあるアプリケーションも同時に起動するようにします。今回のケースでは、ハッカーはWindowsサービス、ならびにGoogle ChromeとMicrosoft Edgeの更新プロセス(MoUsoCoreWorker.exe、svchost.exe、TrustedInstaller.exe、GoogleUpdate.exe、MicrosoftEdgeUpdate.exe)を「ハイジャック」していました。
手順2で作成したフォルダとファイルを削除・変更する権限を取り消します。
Windowsリカバリーサービスを無効にします。
侵害したコンピューターの仕様や名前、OSバージョン、インストールされているアンチウイルスに関する情報を、Telegramボットを使用して攻撃者に送信します。

仮想通貨の密かなマイニングと窃盗はそれぞれDeviceId.dllファイルと7zxa.dllファイルによって実行されます。いずれのファイルもプロセスハロウイング(Process Hollowing)手法を用いてそれぞれのペイロードをexplorer.exe(Windows Explorer)プロセス内に挿入します。DeviceId.dllファイルは.NETフレームワークの一部として提供される正規のライブラリですが、 SilentCryptoMiner マイナーを実行する悪意のあるAutoItスクリプトが埋め込まれています。このマイナーは多様な構成と密かに仮想通貨をマイニングする機能に加え、リモートコントロール機能も備えています。

7zxa.dllライブラリはアーカイバ7-Zipの正規のライブラリですが、クリッパーが含まれています。この種のマルウェアはクリップボード内のデータを監視する目的で使用され、それらのデータを置き換えたり攻撃者に送信したりすることができます。今回のケースでは、クリッパーはウォレットアドレスであることを示す文字列が入力されるのを待ち、それらのアドレスを攻撃者の指定したアドレスに置き換えます。本記事掲載時点で、このクリッパーによって6000ドル相当を超える仮想通貨が盗まれています。

プロセスハロウイング手法は、正規プロセスをサスペンド(一時停止)状態で起動させ、そのメモリ内のコードを悪意のあるコードで上書きしたのちに、プロセス実行を再開させるというものです。その結果として、同じ名前を持つ複数のプロセスのコピーが存在することになります。今回のケースでは、ユーザーのシステム上で3つのexplorer.exeプロセスが確認されました。通常このプロセスは1つのコピーしか存在しないため、このこと自体が疑わしい兆候となります。

このマルウェアキャンペーンにより、合計で2万8000人を超えるユーザーが被害を受けています。その多くがロシア国民となっており、そのほかベラルーシ、ウズベキスタン、カザフスタン、ウクライナ、キルギスタン、トルコでも多数の感染が確認されています。今回のケースでは、ユーザーのコンピューターはポピュラーなプログラムの海賊版をインストールすることで侵害されています。したがって、このようなインシデントを防ぐための推奨事項として、ソフトウェアは公式サイトからダウンロードする、オープンソースの代替品を使用する、高性能なアンチウイルスソフトウェアをインストールするといったことが挙げられます。Dr.Webユーザーは確実に保護されており、この脅威による被害を受けることはありません。

Trojan.AutoIt.1443の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語

Redisハニーポット : 脆弱なRedisデータベースを使用するサーバーで、仮想通貨のマイニングプロセスを隠すSkidMapの新たな亜種を発見

Fri, 04 Oct 2024 11:05:16 GMT

2024年10月4日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、侵害したLinuxマシン上にマイニング型トロイの木馬Skidmapをインストールするルートキットの新たな亜種を発見しました。このルートキットは、CPU使用率とネットワークアクティビティに関する偽の情報をユーザーに対して提供することで仮想通貨のマイニング活動を隠す、悪意のあるカーネルモジュールとして設計されています。この攻撃は、大規模なサーバーとクラウド環境を備えた(すなわちマイニングの効率が最も高い)企業を主な標的として、無差別に行われているものとみられます。

データベース管理システムRedisは世界で最もポピュラーなNoSQLデータベースであり、Redisサーバーは X(旧Twitter)、AirBnB、Amazonなどの大企業で使用されています。その利点は明らかで、極めて高速なパフォーマンス、小さなメモリフットプリント、さまざまなデータタイプとプログラミング言語のサポートが挙げられます。一方で、欠点もあります。Redisはネットワークエッジで使用されることを意図していないため、デフォルト設定では基本的なセキュリティ機能しかサポートしていません。そのため、バージョン6より前のRedisにはアクセス制御や暗号化メカニズムが備わっていません。また、サイバーセキュリティに関する刊行物やレポートでは、毎年Redisの脆弱性が多数報告されています。たとえば、2023年には12件の脆弱性が発見され、そのうち3件は「深刻」であると判定されています。サーバーが侵害されてマイニング型トロイの木馬がインストールされるという事例の報告件数が増えるにつれてDoctor Webウイルスラボの興味をひくところとなり、実際に攻撃を受けてみる運びとなりました。そこで、Doctor Webでは保護されていないRedisサーバーを設置して招かれざる客を待ち受けました。サーバーは1年間稼働しており、その間に毎月約10,000～14,000件の攻撃を受けました。そして先ごろ、Doctor Webアナリストの予期していたとおり、このRedisサーバーに対するトロイの木馬SkidMapの亜種による攻撃が確認されました。予想外だったのは、マイニング活動を隠すための新たな手法が用いられていたということと、同時に4つのバックドアがインストールされていたということです。

トロイの木馬Skidmapが初めてニュースになったのは2019年のことでした。このトロイの木馬は特化されており、企業ネットワークを主な標的としています。仮想通貨のステルスマイニングによる最も大きな利益を見込めるのは、企業を攻撃した時であるためです。登場から5年の月日が経っているにもかかわらず、このトロイの木馬の動作原理は現在も同じままです。すなわち、脆弱性を悪用するか、またはソフトウェア設定の不備を突くことでシステム上にインストールされるというものです。Doctor Webによって設置されたハニーポットサーバーのケースでは、ハッカーはシステムスケジューラにタスクを追加し、スクリプトがドロッパー Linux.MulDrop.142 (または別の亜種である Linux.MulDrop.143 )を10分おきにダウンロードしていました。この実行ファイル(ドロッパー)はOSカーネルバージョンをチェックし、SELinuxセキュリティモジュールを無効にしたうえで、システム上でルートキット Linux.Rootkit.400 、マイナー(マイニング型トロイの木馬) Linux.BtcMine.815 、バックドア Linux.BackDoor.Pam.8/9 と Linux.BackDoor.SSH.425/426 を解凍します。このドロッパーの特異な点は、極めてサイズが大きいということです。あらゆるLinuxディストリビューション用に約60もの実行ファイルがパックされているためです。今回のケースでは、ドロッパーにはサーバーで最も多く使用されているDebianとRed Hat Enterprise Linuxディストリビューションのさまざまなバージョンに対応したファイルが含まれていました。

インストールされたルートキットはシステムコールを傍受し、その結果、管理者によって入力された診断コマンドに対する応答として偽の情報を生成できるようになります。傍受される機能には、平均CPU使用率、複数のポート上でのネットワークアクティビティ、ディレクトリ内のファイルリストなどの報告が含まれています。また、ルートキットはカーネルモジュールがロードされる際にそれらをすべてチェックし、自身を検出できるモジュールが実行されるのを防ぎます。これにより、仮想通貨のマイニングが行われていることを示唆するあらゆるサイン(計算処理、ハッシュの送信、ジョブの受信)を完全に隠すことが可能です。

この攻撃で同じくドロッパーによってインストールされていた4つのバックドアの目的は、侵害されたマシンからSSH認証情報を収集して攻撃者に送信し、システム上のすべてのアカウントに対するマスターパスワードを作成することです。ここで注目したいのは、パスワードはすべて、オフセットが4文字の(4文字ずらす)シーザー暗号を使用してさらに暗号化されているということです。

侵害したシステムの制御をよりしっかりと掌握するために、攻撃者はリモートアクセス型トロイの木馬 Linux.BackDoor.RCTL.2 をインストールしています。これにより、トロイの木馬自身が開始する暗号化された接続を介して、感染したマシンにコマンドを送信したりデータを窃取したりすることが可能になり、ルーティングの問題を回避できます。

xmrigプログラムは、いくつかの仮想通貨をマイニングすることができるマイナーとしてインストールされます。それら仮想通貨の中で最も有名なのが、取引における完全な匿名性によってダークネット上で人気を得ているMoneroです。サーバークラスタ内に潜む、ルートキットによって隠蔽されたマイナーを検出するのは決して容易ではありません。診断データが偽装されている場合、侵害を示唆する兆候は電力消費量と発熱量の増加だけです。ところが、マイニングパフォーマンスとハードウェアパフォーマンス保持との間の最適なバランスをとるようマイナーの設定を調整することで、攻撃者はそれらの兆候すらもほとんど現れないようにすることが可能です。こうして、システムの侵害がユーザーの注意を引かないようにします。

このように、ますます複雑化する攻撃チェーン(起動されたプログラムが相互に呼び出し、セキュリティシステムを無効にし、多数のシステムユーティリティやサービスを妨害し、ルートキットをダウンロードするなど)から、Skidmapマルウェアファミリーの進化がうかがえます。このことが、このようなインシデントへの対応をより一層困難なものにしています。

Indicators of compromise(侵害の痕跡) ※英語

Linux.MulDrop.142の詳細 ※英語

Linux.MulDrop.143の詳細 ※英語

Linux.MulDrop.144の詳細 ※英語

Linux.Rootkit.400の詳細 ※英語

2024年第3四半期のモバイルマルウェアレビュー

Tue, 01 Oct 2024 16:16:13 GMT

2024年10月1日

株式会社Doctor Web Pacific

モバイルデバイス向けDr.Web Security Spaceによって収集された検出統計によると、2024年第3四半期にデバイス上で最も多く検出された脅威は、脅威アクターによってさまざまな詐欺スキームに用いられる悪意のあるアプリ Android.FakeApp でした。次いで、 Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が2番目に多く検出された脅威となりました。3 番目に多く検出されたのはトロイの木馬 Android.Siggen です。この Android.Siggen は、多様な悪意のある機能を備えているため特定のファミリーに分類することの難しいプログラムです。

8月には197か国で130万台近くのAndroid TVボックスセットを感染させていたバックドア Android.Vo1d がDoctor Webのエキスパートによって発見されました。このバックドアは自身のコンポーネントを感染したデバイスのシステムストレージ領域に置き、脅威アクターのコマンドに応じてさまざまなプログラムを密かにダウンロードしてインストールすることができます。

また、インドネシアのユーザーを標的としたバンキング型トロイの木馬も発見されました。そのうちの1つは、インドネシアの大手銀行であるBRIのカスタマーサポートアプリ「BRImo Support」を装って拡散されていた Android.SmsSpy.888.origin です。このトロイの木馬はソフトウェアパッカーによって保護されており、 Android.Siggen.Susp.9415 として検出されていました。

起動されると、このトロイの木馬は本物の銀行のサイト（https://bri.co.id）をWebViewで開きます。同時に、Telegram Bot APIを使用して、脅威アクターが作成したTelegramチャット内に感染したデバイスに関する技術的情報を送信します。

Android.SmsSpy.888.origin は受信するSMSを傍受し、それらもチャット内に送信します。 55555, <number>, <text> のようなメッセージを受信した場合はコマンドであると解釈し、テキスト <text> を含んだメッセージを番号 <number> に送信します。こうすることで、スパムSMSを送信して拡散させることができます。

インドネシアのユーザーを襲ったもう1つのトロイの木馬は Android.SmsSpy.11629 です。この Android.SmsSpy.11629 もSMSを傍受するトロイの木馬で、あらゆる種類のアプリを装って拡散されています。この度発見された亜種は、インドネシアの大手銀行であるマンディリ銀行（Bank Mandiri Taspen）の利用者を標的として、同銀行の公式アプリ「Movin by Bank Mandiri Taspen」に偽装していました。このトロイの木馬は使用許諾契約に同意するよう求めるメッセージを表示させ、ユーザーが同意すると、次はSMSを使用する権限を要求します。

続いて、本物の銀行のサイト（https://mail.bankmantap.co.id/）をWebViewで開きます。

Android.SmsSpy.11629 は受信するSMSをすべて傍受します。その後、すべてのメッセージにテキスト developed by : @AbyssalArmy を追加したうえで、Telegram Bot APIを使用して攻撃者のTelegramチャット内にそれらを送信します。

Google Payでも引き続き脅威が発見されています。それらの中には新たな偽アプリが多数と、広告を表示するトロイの木馬が複数含まれていました。

2024年第3四半期の主な傾向

バックドア Android.Vo1dが100万台を超えるTVボックスセットを感染させる
詐欺に使用される悪意のあるアプリ Android.FakeApp の活動が活発
アドウェア型トロイの木馬 Android.HiddenAds の活動が活発
Google Playに新たなマルウェアが出現

モバイルデバイス向けDr.Web Security Spaceによる統計

Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.HiddenAds.3994: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.MobiDash.7815
Android.MobiDash.7813: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.Click.1751: サードパーティによるWhatsAppメッセンジャーのMod（改造版）に組み込まれ、Googleのライブラリクラスに偽装したトロイの木馬です。ホストアプリケーションが使用されている間にC&Cサーバーの1つに接続し、そこから2つのURLを受け取ります。1つはロシア語圏のユーザーを対象としたもので、もう1つはそれ以外のユーザーを対象としています。次に、同じくリモートサーバーから受け取った内容のダイアログボックスを表示させ、ユーザーが確認ボタンをクリックすると該当するリンクをブラウザで開きます。

Program.FakeMoney.11: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（ Tool.CloudInject としてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。
Tool.SilentInstaller.17.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.NPMod.1
Tool.NPMod.2: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.LuckyPatcher.1.origin: Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Basement.1: 迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには Program.FakeMoney.11 と同じコードベースが使用されています。
Adware.Fictus.1.origin: net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。
Adware.Adpush.21846
Adware.AdPush.39.origin: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。

Google Play上の脅威

2024年第3四半期も、Doctor Webのマルウェアアナリストによって引き続きGoogle Play上で脅威が発見されています。それらの中には、さまざまなアプリを装って拡散されている Android.FakeApp ファミリーの新たな偽アプリが含まれていました。その一部は投資アプリや金融学習用の教材、家計簿ツールなどの金融関連アプリに偽装しており、多くが実際にうたわれた機能を実行していましたが、メインとなるタスクは詐欺サイトを開くことです。そのような詐欺サイトは投資や天然資源の取引、仮想通貨を通じて素早く簡単に利益を得ることができるとうたい、「サービス」にアクセスするためにアカウントに登録するか、または「申請フォーム」に個人情報を入力するようユーザーに要求します。

Android.FakeApp ファミリーに属するまた別のトロイの木馬の1つは、出会い系チャットアプリを装っていながら偽の「投資」サイトを開くという目新しいものでした。

これまで同様、ゲームを装って拡散されていた Android.FakeApp トロイの木馬も発見されています。これらトロイの木馬は一定の条件下でオンラインカジノやブックメーカーのサイトを開きます。

そのほか、求人検索アプリを装う Android.FakeApp の亜種も新たなものが検出されました。これらトロイの木馬は偽の求人情報を表示し、メッセンジャーを使用して雇用主（実際は詐欺師）に連絡するか、または個人情報を記入した「履歴書」を送信するようユーザーに指示します。

また、 Android.HiddenAds ファミリーに属する新たなトロイの木馬もGoogle Playで発見されています。これらトロイの木馬はホーム画面のメニューから自身のアイコンを隠し、煩わしい広告を表示させます。この度検出されたトロイの木馬は、画像集や写真編集アプリ、バーコードスキャナなどのアプリに偽装していました。

お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向けDr.Webアンチウイルス製品をインストールすることをお勧めします。

Indicators of compromise(侵害の痕跡)※英語

2024年第3四半期のウイルスレビュー

Tue, 01 Oct 2024 16:07:24 GMT

2024年10月1日

株式会社Doctor Web Pacific

Dr.Webアンチウイルスの検出統計によると、2024年第3四半期に検出された脅威の合計数は第2四半期と比較して10.81%増加し、一方でユニークな脅威の数は4.73%減少しています。検出された脅威の多くを引き続きアドウェアプログラムが占めていました。悪意のあるスクリプト、アドウェア型トロイの木馬、別の脅威と一緒に拡散されてそれらの検出を困難にするマルウェアも多く検出されています。メールトラフィック内では、悪意のあるスクリプト、Microsoft Officeソフトウェアの脆弱性を悪用するプログラムが最も多く検出されました。

Androidデバイスでは、詐欺目的で使用される Android.FakeApp ファミリーに属するトロイの木馬、アドウェア型トロイの木馬 Android.HiddenAds 、多様な機能を備えた悪意のあるアプリ Android.Siggen が最も多く検出された脅威となりました。また、8月に約130万台のAndroid TVボックスセットを感染させた新たなトロイの木馬 Android.Vo1d が発見されたほか、インドネシアのユーザーを標的とするバンキング型トロイの木馬も複数発見されています。

Google Playでも第3四半期を通して新たな脅威が多数発見されています。

2024年第3四半期の主な傾向

アドウェアプログラムが引き続き最も多く検出された脅威となる
メールトラフィック内では、悪意のあるスクリプトが引き続き最も多く検出された脅威となる
100万台を超えるTVボックスセットがバックドア Android.Vo1d に感染
Google Playで新たな脅威を発見

Doctor Webサーバーによる統計

2024年第3四半期に最も多く検出された脅威：

Adware.Downware.20091
Adware.Downware.20477: 海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。
JS.Siggen5.44590: パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。
Trojan.StartPage1.62722: ブラウザ設定のホームページを変更する悪意のあるプログラムです。
Adware.Ubar.20: ユーザーのデバイス上に望ましくないプログラムをインストールするよう設計されたtorrentクライアントです。

メールトラフィック内で検出された脅威の統計

JS.Siggen5.44590: パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。
JS.Inject: JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。
LNK.Starter.56: 特殊なショートカットの検出名です。このショートカットはUSBフラッシュドライブなどのリムーバブルメディアを通じて拡散され、ユーザーを騙して自身の動作を隠すためのデフォルトのディスクアイコンを持っています。起動されると、ショートカット自体と同じドライブにある隠しディレクトリから悪意のある VBS スクリプトを実行します。
W97M.DownLoader.6154: Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることもできます。
Trojan.AutoIt.1410: AutoItスクリプト言語で記述された悪意のあるアプリ Trojan.AutoIt.289 の、パックされたバージョンの検出名です。マイニング型トロイの木馬やバックドア、自己増殖型モジュールなど複数の悪意のあるアプリグループの一部として拡散されます。 Trojan.AutoIt.289 はメインのペイロードの検出を困難にする、さまざまな悪意のある動作を実行します。

暗号化ランサムウェア

2024年第3四半期にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は、2024年第2四半期と比較して15.73%減少しました。

ランサムウェアによって暗号化されたファイルの復号化リクエスト数の推移：

2024年第3四半期に最も多く確認された暗号化ランサムウェア：

Trojan.Encoder.35534 — 19.38%
Trojan.Encoder.3953 — 9.42%
Trojan.Encoder.38200 — 3.99%
Trojan.Encoder.26996 — 2.89%
Trojan.Encoder.35067 — 2.72%

ネットワーク詐欺

2024年第3四半期も、さまざまな詐欺サイトへのリンクを含んだスパムメールが拡散されています。ロシア語圏のユーザーは引き続き、有名なオンラインストアを装ったメールの標的となりました。そのようなメールの中に、賞金の抽選に参加したりギフトを受け取とったりするよう勧めるものがあります。メール内のリンクをクリックしてしまったユーザーは詐欺サイトに飛ばされ、そこで賞金や賞品を「受け取る」ための手数料を支払うよう要求されます。

オンラインストアを装い20万8760ルーブルの当選金を「受け取る」よう勧める詐欺メール

また別のメールは大型家電量販店からのものを装い、商品を割引価格で購入できると提案していました。メール内のリンクをクリックすると、本物のサイトにそっくりな偽サイトが開きます。ユーザーがその偽サイトで「注文」すると、個人情報とバンクカード（クレジットカード）情報を入力するよう求められます。

電化製品を安く購入できる「プロモコードをアクティベート」するよう勧める詐欺メール

金融関連のスパムも依然として横行しています。その一例として、ユーザーに対する多額の送金があったと伝えて受領の「確認」を行うよう促す迷惑メールがあります。以下の画像は、英語圏のユーザーを標的としたそのようなメールの例です。メール内のリンクをクリックすると、本物のインターネットバンキングサイトに酷似したフィッシングサイトが開き、偽のログインフォームが表示されます。

1,218.16 米ドルの受け取りを確認するよう促すメール

本物の銀行のサイトを模倣したフィッシングサイト

日本のユーザーを標的とした、金融機関をかたった偽のメールも引き続き確認されています。その一例にカードの請求額案内メールを装ったものがあり、メール内にはフィッシングサイトへのリンクが巧妙に隠されていました。記載されているリンクのアドレスは本物の銀行のサイトのものでしたが、ユーザーがクリックすると実際に開かれるのは偽のサイトです。

メール内のすべてのリンクがフィッシングサイトにつながっていた

フランス語圏のユーザー（特にベルギーのユーザー）は、銀行口座が「ブロック」されていると通知するフィッシングメールの標的となりました。ユーザーは「ブロック解除」するためにリンクをクリックするよう促されますが、このリンクは偽サイトにつながっています。

銀行口座が「ブロック」されているとしてユーザーの不安を煽るフィッシングメール

ロシアのユーザーに対しては、有名な銀行を装って投資を勧めるスパムメールが再び活発に拡散されています。メール内のリンクは詐欺サイトにつながっており、ユーザーはそこで、投資サービスにアクセスするためという名目で個人情報を提供するよう求められます。

テストを受けて投資家になるようユーザーに勧める、銀行を装ったメール

仮想通貨保有者を狙った新たなフィッシングサイトもDoctor Webのインターネットアナリストによって発見されました。そのようなサイトの1つは大手仮想通貨取引所を装ってビットコインの入金（受け取り）が未完了であるとユーザーに通知し、入金を「完了」させるために「手数料」を支払うよう要求しています。言うまでもなく、ユーザーはただ詐欺師にお金を渡してしまうだけであり、その後に仮想通貨を受け取ることはありません。

ビットコインの受け取りが未完了であると通知する詐欺サイト

また、ロシアのソーシャルネットワーク「VKontakte」の外観を模倣した偽サイトも発見されました。この偽サイトで、ユーザーは賞金の抽選に参加するよう勧められます。画面上でギフトボックスのうちいくつかを開くよう促され、「当たり」のボックスを開くと高額賞金が当選するようになっています。ユーザーはこの「賞金」を受け取るために「手数料」を支払うよう求められます。

「運試し」をするようユーザーに勧める詐欺サイト

賞金19万4562ルーブルを獲得したと告げられるユーザー

非推奨サイト

モバイルデバイスを脅かす悪意のあるプログラムや望ましくないプログラム

モバイルデバイス向けDr.Web Security Spaceによって収集された検出統計によると、2024年第3四半期にデバイス上で最も多く検出された脅威は、脅威アクターによってさまざまな詐欺スキームに用いられる悪意のあるアプリ Android.FakeApp でした。2番目に多く検出された脅威は Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬で、3番目はトロイの木馬 Android.Siggen となっています。

Google Payでは新たな脅威が多数発見され、それらの中には Android.FakeApp ファミリーや Android.HiddenAds ファミリーに属するトロイの木馬のさまざまな亜種が含まれていました。また、Android TVボックスセットに対する攻撃も確認され、バックドア Android.Vo1d が197か国で約130万台を感染させました。このバックドアは自身のコンポーネントを感染したデバイスのシステムストレージ領域に置き、脅威アクターのコマンドに応じてサードパーティソフトウェアを密かにダウンロードしてインストールすることができます。そのほか、インドネシアのユーザーを標的としたバンキング型トロイの木馬 Android.SmsSpy.888.origin と Android.SmsSpy.11629 も発見されました。

2024年第3四半期のモバイルマルウェアに関連した注目すべきイベント：

100万台を超えるTVボックスセットを感染させたバックドア Android.Vo1d を発見
悪意のあるアプリ Android.FakeApp の活動が活発
アドウェア型トロイの木馬 Android.HiddenAds の活動が活発
Google Playに新たなマルウェアが出現

2024年第3四半期のモバイルデバイスを取り巻くセキュリティ脅威の状況について、詳細はこちらのレビューをご覧ください。

百万台を超えるAndroid TVボックスを襲うVo1d

Fri, 13 Sep 2024 15:03:04 GMT

2024年9月13日

株式会社Doctor Web Pacific

Doctor Webのエキスパートにより、Android TVボックスの新たな感染事例が発見されました。 Android.Vo1d と名づけられたマルウェアが197か国で130万台近いデバイスを感染させています。この Android.Vo1d はシステムストレージ領域に自身のコンポーネントを置くバックドアで、攻撃者のコマンドに応じてサードパーティソフトウェアを密かにダウンロードしてインストールする機能を備えています。

2024年8月、Doctor Webでは、Dr.Webアンチウイルスによってデバイス上でシステムファイル領域内の変更が検出されたという複数のユーザーから連絡を受けました。変更が検出されたのは以下のモデルです。

モデル	ファームウェバージョン(メーカー発表)
R4	Android 7.1.2; R4 Build/NHG47K
TV BOX	Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP	Android 10.1; KJ-SMART4KVIP Build/NHG47K

これらすべてのケースにおいて同様の感染兆候がみられたため、ここではユーザーから受け取った最初のリクエストのうち1つを例としてとりあげます。侵害されたTVボックス上で、以下のオブジェクトが改変されていました。

install-recovery.sh
daemonsu

さらに、ファイルシステム内に新たなファイルが4つ作成されています。

/system/xbin/vo1d
/system/xbin/wd
/system/bin/debuggerd
/system/bin/debuggerd_real

vo1dファイルとwdファイルは、今回発見されたトロイの木馬 Android.Vo1d のコンポーネントです。

このトロイの木馬の作成者は、そのコンポーネントの1つをシステムプログラムである/system/bin/voldに偽装させようという目的で、「vo1d」という似たような(小文字の「l」を数字の「1」に変えただけの)名前を付けたものと考えられます。この悪意のあるプログラムの名前はこのファイル名からとられています。さらに、この綴りは英語の「void」も連想させます。

install-recovery.shファイルはスクリプトで、ほとんどのAndroidデバイスに存在しています。オペレーティングシステムの起動時に実行され、ファイル内で指定されているエレメントを自動実行するためのデータを含んでいます。マルウェアがroot権限(rootアクセス)を持ち、システムディレクトリ/systemに書き込むことができる場合、自身をこのスクリプト内に追加することで(または、スクリプトがシステム内にない場合は一から作成することで)、感染したデバイス上にとどまるための足がかりを得ることができます。 Android.Vo1d は、このファイル内にwdコンポーネントの自動実行を登録していました。

改変されたinstall-recovery.shファイル

daemonsuファイルはrootアクセスを持つ多くのAndroidデバイスに存在しています。オペレーティングシステムによってその起動時に実行され、ユーザーにroot権限を付与する役割を担っています。 Android.Vo1d はこのファイル内にも自身を登録し、さらにwdコンポーネントの自動実行も設定しています。

debuggerdファイルは、通常は発生したエラーに関するレポートの作成に使用されるデーモンですが、TVボックスの感染によって、wdコンポーネントを起動するスクリプトに置き換えられていました。

今回のケースでは、debuggerd_realファイルが本物のdebuggerdファイルに置き換わるためのスクリプトのコピーです。トロイの木馬の作成者は、本物のdebuggerdファイルをdebuggerd_real内に移動させることで、その機能を保持しようとしたものとみられます。しかしながら、恐らくは感染が2回起こったために、トロイの木馬が移動させたファイルは1回目の感染ですでに置き換えられていたファイル(すなわち、スクリプト)であり、その結果、デバイスにはトロイの木馬のスクリプトが2つ存在することになり、本物のプログラムファイルdebuggerdは1つも残っていませんでした。

他のユーザーの感染したデバイスでは、発見されたファイルに若干の違いがありました。

daemonsu (vo1dファイルと同じ： Android.Vo1d.1 )
wd ( Android.Vo1d.3 )
debuggerd (上記と同じスクリプト)
debuggerd_real (debuggerdツールの元のファイル)
install-recovery.sh (指定されたオブジェクトをロードするスクリプト)

上記すべてのファイルを分析した結果から、トロイの木馬の作成者は Android.Vo1d をシステム内にとどめるために少なくとも3つの異なる手法を用いていることが分かります。すなわち、install-recovery.shファイルとdaemonsuファイルの改変、debuggerdプログラムの置き換えです。感染させたシステム内にこれらファイルのいずれか1つでも存在することを期待しているものと考えられます。これらファイルの1つだけにでも手を加えることができれば、デバイスの再起動時にトロイの木馬を確実に自動実行させることが可能になるからです。

Android.Vo1d の主要機能は連携して動作するコンポーネントvo1d( Android.Vo1d.1 )とwd( Android.Vo1d.3 )に隠されています。 Android.Vo1d.1 モジュールは Android.Vo1d.3 の起動を担い、その動作をコントロールし、必要に応じてそのプロセスを再起動させます。また、C&Cサーバーから受け取るコマンドに応じて実行ファイルをダウンロードして実行することができます。一方、 Android.Vo1d.3 モジュールはその本体に暗号化された状態で格納されている Android.Vo1d.5 デーモンをデバイス上にインストールして起動します。このモジュールも実行ファイルをダウンロードして実行することができるほか、指定されたディレクトリを監視して、そこで見つかったAPKファイルをインストールします。

Doctor Webのマルウェアアナリストによる調査の結果、バックドア Android.Vo1d はおよそ130万台のデバイスを感染させており、その地理的範囲は200か国近くに及んでいることが明らかになりました。最も感染数の多かった国は、ブラジル、モロッコ、パキスタン、サウジアラビア、ロシア、アルゼンチン、エクアドル、チュニジア、マレーシア、アルジェリア、インドネシアとなっています。

感染したデバイスの検出数が最も多かった国

Android.Vo1d を拡散させる攻撃者がその標的として特にTVボックスに白羽の矢を立てた背景には、これらのデバイスには往々にして古いバージョンのAndroidが搭載されているという状況があると考えられます。そのようなバージョンにはパッチの適用されていない脆弱性が存在し、アップデートのサポートも終了しています。たとえば今回のケースでは、ユーザーはAndroid 7.1を搭載するモデルを使用していました。それらの中には、Android 10やAndroid 12などの新しいバージョンが搭載されているとうたわれているものもあります。残念ながら、安価なデバイスのメーカーが古いバージョンのOSを搭載しておきながら、それらを最新のバージョンと偽って売り込もうとすることは珍しくありません。

また、TVボックスはスマートフォンに比べて安全なデバイスであるという誤った認識をユーザー自身が抱いてしまっている場合もあります。そのため、TVボックスにはアンチウイルスソフトウェアをインストールしてあることが少なく、サードパーティアプリをダウンロードする際や非公式ファームウェアをインストールする際にマルウェアに遭遇するリスクが高くなります。

現時点では、TVボックスがバックドアに感染した経路については明らかになっていません。可能性として考えられるのは、オペレーティングシステムの脆弱性を悪用してroot権限を取得する中間マルウェアによる攻撃です。もう1つの可能性としては、root権限を持つ非公式ファームウェアの使用が考えられます。

Android向けDr.Webアンチウイルス製品はトロイの木馬 Android.Vo1d の既知の亜種すべてを検出し、root権限を使用できる場合は感染したデバイスを修復します。

Indicators of compromise (侵害の痕跡) ※英語

Android.Vo1d.1の詳細 ※英語

Android.Vo1d.3の詳細 ※英語

Android.Vo1d.5の詳細 ※英語

Yandex Browserを悪用してシステム上に居座る：未然に防がれたロシアの鉄道貨物輸送業者に対するスピアフィッシング攻撃

Thu, 05 Sep 2024 12:13:30 GMT

2024年9月5日

株式会社Doctor Web Pacific

ソーシャルエンジニアリングは、対抗することが難しい極めて効果の高い詐欺手法です。巧みな攻撃者は、被害者を脅したり説得したりして望み通りの行動をとらせるための効果的なアプローチを、どのように探ればよいか分かっています。しかし、攻撃にほとんどコミュニケーションを必要とせず、ユーザーのコンピューターがデジタルアシスタントであることをやめて意図せず共犯者となってしまったら？

スピアフィッシングは大規模な組織のコンピューターにマルウェアを侵入させるために広く用いられている手法です。通常のフィッシングと異なるのは、攻撃者が事前に情報を収集して、セキュリティ侵害につながるような行動をとらせるよう誘導するメッセージを標的となる受信者（被害者）に合わせてパーソナライズしているという点です。主に標的とされるのは、重要な情報にアクセスできる上層部の従業員や、複数の相手とやりとりをする部門の従業員です。特に、あらゆる形式の添付ファイルを含んだメールを見知らぬ人物から大量に受け取る人事部の従業員がこれに当てはまります。そしてこの攻撃ベクトルこそ、今回の事例で脅威アクターによって用いられていたものでした。

2024年3月、Doctor Webはロシアの大手鉄道貨物輸送業者から連絡を受けました。添付ファイルを含んだ不審なメールが情報セキュリティ部門の目に留まり、そのファイルの危険性を確認しようと試みた後、Doctor Webのスペシャリストに依頼したというものでした。Doctor Webのアナリストによる調査の結果、同企業はあと一歩でスピアフィッシングの被害者になるところであったということが判明しました。攻撃者の目的はシステム情報を収集し、侵害したコンピューター上でモジュラー型マルウェアを起動させることでした。

この攻撃を実行するにあたって、攻撃者は求職者からの履歴書送付を装ったフィッシングメールを企業のメールアドレス宛に送信しています。メールには応募書類のPDFファイルが格納されているとするアーカイブが添付されており、このファイルには「.pdf.lnk」といういわゆる「二重」拡張子が付いていました。二重拡張子を使用して悪意のあるオブジェクトを隠すというのは、ユーザーを騙すためによく用いられる手段です。Windowsでは、ユーザーにとって煩わしくないようデフォルトで拡張子が表示されないようになっています。ファイルに「二重」拡張子が付いている場合は2つ目の拡張子のみが非表示になります。つまり、今回のケースでは「.lnk」拡張子は表示されず、ユーザーの目に見えていたのは最初の「.pdf」拡張子だけということになります。そのうえ、ファイル名を拡張子まですべて表示する設定が有効になっている場合でも、「.lnk」拡張子は常にOSによって非表示にされます。

lnkファイルを使用してシステムを侵害するという手法は目新しいものではありません。最も目立った攻撃は、2010年に発生したイランの都市ナタンズにあるウラン濃縮施設に対する過去に類を見ないサイバー攻撃です。Stuxnetと呼ばれるワームがガス遠心分離機を制御するPLCを攻撃し、遠心分離機を異常な速度で回転させたのちに突然停止させて破壊したというものです。Stuxnetはこのウラン濃縮施設で機器を破壊するのみにとどまらず、世界中の多くの国で20万台を超えるコンピューターを感染させました。主な攻撃ベクトルはUSBドライブ経由で企業の管理コンピューターに到達したlnkファイルでした。このlnkファイルを含んだフォルダにユーザーが移動するだけで、悪意のあるプログラムが実行されます。攻撃には4つのゼロデイ脆弱性が悪用されており、中でも目を引くのが、ユーザーの介入なしにStuxnet ワームの起動を可能にするCPLINKエクスプロイトです。

lnkファイル内のメタデータ

実際の「.lnk」拡張子は、Windowsでショートカットファイルに付けられる拡張子です。「Target」フィールドでは実行ファイルなどのあらゆるOSオブジェクトへのパスを指定することができ、必要なパラメータでそれを実行することができます。この攻撃ではPowerShellコマンドプロンプトが密かに実行され、攻撃者のWebサイトから2つの悪意のあるスクリプトをダウンロードしていました。そして、これらのスクリプトがそれぞれ独自のペイロードを実行しています。

攻撃チェーン

1つ目のペイロードはおとりのPDFファイルと YandexUpdater.exe という名前の実行ファイルです。この実行ファイルはYandex Browserを更新するためのコンポーネントを装っていますが（本物のコンポーネントの名前は service_update.exe です）、実際は Trojan.Packed2.46324 と呼ばれるマルウェアドロッパーです。 Trojan.Packed2.46324 は、エミュレーション環境で実行されているかどうか、デバッグソフトウェアが存在するかどうかを確認する一連のチェックを行った後、侵害したシステム上で Trojan.Siggen28.53599 を展開します。 Trojan.Siggen28.53599 はリモートコントロール機能を備えており、システム情報を収集し、さまざまな悪意のあるモジュールをダウンロードします。これらの機能に加えて、このトロイの木馬にはアンチデバッグ機能が搭載されています。アンチウイルス、仮想マシン、あるいはデバッガのプロセスを検出した場合は自身のファイルをゼロで上書きし、それが保存されていたフォルダごとファイルを削除します。

おとりのPDFファイル

2つ目のペイロードはおとりのPDFファイルと Trojan.Siggen27.11306 で構成されています。この Trojan.Siggen27.11306 は暗号化されたペイロードを持つ動的ライブラリ（DLL）です。このトロイの木馬の特異な点は、DLL検索順序ハイジャッキング（DLL Search Order Hijacking）を目的にYandex Browserの脆弱性を悪用するということです。Windowsでは、DLLファイルはアプリケーションが関数や変数、インターフェース要素を保存するために使用するライブラリです。アプリケーションは起動されると複数のデータストア内のライブラリを特定の順序で検索します。そこで、攻撃者はDLL検索の優先順位が高いフォルダに悪意のあるライブラリを配置することで、いわば「列に割り込む」形でその悪意のあるDLLが先に見つかるようにします。

DLL検索優先順位の簡易スキーム図

このトロイの木馬は Wldp.dll という名前で隠しフォルダ %LOCALAPPDATA%\Yandex\YandexBrowser\Application に保存されます。これはYandex Browserがインストールされるディレクトリであり、このブラウザが起動時に必要なライブラリを検索するディレクトリです。一方、本物の Wldp.dll ライブラリ（アプリケーションを正常に起動する役割を担っています）はOSのシステムライブラリで、 %WINDIR%\System32 フォルダにあります。悪意のあるライブラリがYandex Browserインストールフォルダに置かれているために、それが最初にロードされます。同時に、この悪意のあるライブラリはメインアプリケーションのすべての権限を取得し、ブラウザに成り代わってコマンドを実行したりプロセスを生成したり、インターネットアクセスのファイアウォールルールを継承したりできるようになります。

ブラウザの起動後、悪意のある Wldp.dll ライブラリはそこに埋め込まれているペイロードを復号化します。ここで注意したいのは、復号化が2回実行されるということです。1回目は悪意のあるDLLが置かれているパスのハッシュから生成されたキーを使用して実行され、2回目はトロイの木馬の本体に埋め込まれたグローバルキーを使用して実行されます。復号化の結果シェルコードが生成され、このシェルコードを実行することで、攻撃者が.NET言語で記述されたアプリケーションを侵害されたシステム上で起動することが可能になります。そして、そのアプリケーションの実行ファイルがネットワークからマルウェアをダウンロードします。残念ながら、調査時点ではダウンローダが通信していたサーバーがダウンしていたため、ここでダウンロードされていたトロイの木馬を特定するには至りませんでした。

以上のことから、今回の事例ではフィッシングメールに添付されたファイルが開かれることで2つの異なるトロイの木馬が侵害されたシステム上に侵入するという、マルチベクトル（複数のベクトル）かつマルチステージ（複数の段階）での感染スキームが用いられていることが分かります。複雑な手口ではありますが、このような攻撃を阻止するために必要な対策はいたってシンプルです。

情報セキュリティに対する従業員の意識を向上させる（リンクやファイル名を注意深くチェックする、疑わしいオブジェクトを開かない）。
メールフィルタリング機能を備えたソフトウェア（例： Dr.Web Mail Security Suite ）を使用することで、悪意のあるメールや添付ファイルの受信を阻止する。
ネットワーク内のすべてのノードにアンチウイルスソフトウェア（例： Dr.Web Desktop Security Suite、 Dr.Web Server Security Suite ）をインストールする。これにより、インターネットの使用中に危険なファイルが侵入することを防ぎ、USBドライブ経由でファイルが侵入してしまった場合でもコンピューター上の疑わしいアクティビティがブロックされます。
プログラムのバグを修正するためのソフトウェアアップデートを定期的に適用する。

Doctor Webは発見されたYandex Browserの脆弱性についてYandex社に報告を行いました。その後、当該脆弱性（ CVE-2024-6473 ）が修正されたYandex Browserの新しいバージョン（24.7.1.380）がYandex社より直ちにリリースされました。

なお、本記事は、攻撃に関する詳細が公表される前にYandex Browserユーザーがパッチの適用されたバージョンへのアップグレードを安全に行うことができるよう、公開日についてYandex社のブラウザ開発者との間で調整を行ったうえで掲載されています。

Indicators of compromise (侵害の痕跡)※英語

2024年第2四半期のウイルスレビュー

Wed, 03 Jul 2024 01:00:00 GMT

2024年7月3日

株式会社Doctor Web Pacific

Android向け Dr.Web製品によって収集された検出統計によると、2024年第2四半期に最も多く検出された悪意のあるプログラムはアドウェア型トロイの木馬 Android.HiddenAds となりました。2番目に多く検出された悪意のあるプログラムは、サイバー犯罪者によってさまざまな詐欺スキームに用いられる Android.FakeApp トロイの木馬でした。検出されたこのトロイの木馬ファミリーの大部分を占めていたのが5月末にDoctor Webのエキスパートによって発見されたトロイの木馬 Android.FakeApp.1600 です。このトロイの木馬は悪意のあるサイトからゲームアプリとして拡散されており、起動されると、トロイの木馬の設定内で指定されているWebサイトを開きます。これまでに知られている亜種は「Wheel of Fortune」系のゲームをプレイできるとするオンラインカジノのサイトを開きますが、プレイしようとしたユーザーは登録ページにリダイレクトされます。この悪意のあるプログラムの高い検出数の裏には、これらが別のソフトウェアのアプリ内広告で宣伝されているという背景があります。それらの広告をタップしてしまったユーザーは悪意のあるサイトに飛ばされ、そこからトロイの木馬がダウンロードされます。3 番目に多く検出されたのは、スパイウェア機能を備えた Android.Spy トロイの木馬でした。

Google Payでは新たな脅威が発見され、それらの中には Android.FakeApp ファミリーに属するさまざまな偽アプリや、仮想報酬を現金化して引き出すことができるとうたう望ましくないアプリ Program.FakeMoney.11 が含まれていました。また、ユーザーを有料サービスに登録するトロイの木馬も引き続きGoogle Playから拡散されています。

2024年第2四半期の主な傾向

Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が、引き続き最も多く検出されたAndroid脅威となる
Google Playに新たな脅威が出現

Dr.Web for Androidによる統計

Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.HiddenAds.3956
Android.HiddenAds.3980
Android.HiddenAds.3989: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.Spy.5106: WhatsAppメッセンジャーの非公式Mod（改造版）として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。

Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（ Tool.CloudInject としてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.FakeMoney.11: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。.
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。
Tool.NPMod.1
Tool.NPMod.2: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.AdPush.39.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告を含んだ通知を表示します。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。

Google Play上の脅威

2024年第2四半期、Doctor Webのウイルスラボは Android.FakeApp ファミリーに属する新たなトロイの木馬アプリをGoogle Play上で発見しました。それらの一部は金融関連アプリやアンケートやクイズに参加するためのアプリを装って拡散されていました。

これらのアプリは、知名度の高い金融機関や石油・ガス会社に代わって金融教育を提供したり投資家になる機会を提供したりするとうたう詐欺サイトを開きます。ユーザーは「サービス」にアクセスするためにいくつかの質問に回答し、個人情報を提供するよう求められます。

Android.FakeApp ファミリーのまた別の一部は、さまざまなゲームに潜んでいました。これらの偽アプリは特定の条件下で、実際にゲームとして機能する代わりにブックメーカーやオンラインカジノのサイトを開きます。

同じくこのファミリーに属するまた別のトロイの木馬 Android.FakeApp.1607 は、画像収集アプリを装っていました。このアプリは実際にうたわれた機能を提供しますが、代わりにオンラインカジノのサイトを開く場合もあります。

求人検索アプリを装って拡散されていた Android.FakeApp の亜種もいくつか発見されています。

これらトロイの木馬（ Android.FakeApp.1605、 Android.FakeApp.1606 ）は偽の求人情報を表示し、Telegramなどのメッセンジャーを使用して「雇用主」に連絡するか、または個人情報を記入した「履歴書」を送信するようユーザーに指示します。詐欺師はここで興味を示したユーザーを、お金を儲けることができるとする別の詐欺スキームに誘い込み、金銭を詐取しようとする可能性があります。

Program.FakeMoney ファミリーに属する新たな望ましくないプログラムも発見されています。これらのアプリはさまざまなタスクを完了することで仮想報酬を受け取ることができるとうたっています。この報酬を現金化して引き出すことができるとしていますが、実際には報酬が支払われることはありません。これらアプリの目的は、できるだけ長くユーザーがアプリを使い続けるようにすることです。その間に広告を表示させ、それがデベロッパーの収益となります。

今回発見されたアプリ（ Program.FakeMoney.11 ）はゲーム「One-Armed Bandit」のバリエーションの1つで、ユーザーがゲームをプレイしてアプリ内広告を視聴することで仮想報酬を受け取ることができるというものです。ユーザーが「報酬」を引き出そうとすると、次々と別の条件を追加され、手続きを引き延ばされます。最終的にユーザーが報酬引き出しの申請に「成功」しても審査待ちの状態となり、この審査待ちの列にはすでに何千人もの他の「申請者」が連なっています。

そのほか、ユーザーを有料サービスに登録する Android.Harly ファミリーに属する新たなトロイの木馬（ Android.Harly.87 ）もGoogle Playから拡散されました。

Indicators of compromise(侵害の痕跡)※英語

2024年第2四半期のモバイルマルウェアレビュー

Tue, 02 Jul 2024 09:38:11 GMT

2024年7月2日

株式会社Doctor Web Pacific

2024年第2四半期の主な傾向

Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が、引き続き最も多く検出されたAndroid脅威となる
Google Playに新たな脅威が出現

Dr.Web for Androidによる統計

Android.FakeApp.1600: 設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.HiddenAds.3956
Android.HiddenAds.3980
Android.HiddenAds.3989: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。
Android.Spy.5106: WhatsAppメッセンジャーの非公式Mod（改造版）として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。

Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ（ Tool.CloudInject としてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。
Program.FakeMoney.11: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。.
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.TrackView.1.origin: Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.Packer.1.origin: Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。
Tool.NPMod.1
Tool.NPMod.2: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。

Adware.ModAd.1: その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.AdPush.39.origin
Adware.Adpush.21846: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告を含んだ通知を表示します。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。

Google Play上の脅威

求人検索アプリを装って拡散されていた Android.FakeApp の亜種もいくつか発見されています。

Indicators of compromise(侵害の痕跡)※英語