Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

世界中で数十のAndroidアプリを感染させるバンキングトロイの木馬

2016年5月12日

株式会社Doctor Web Pacific


今日では、Androidユーザーを標的とする何百ものバンキングトロイの木馬が存在します。そのうちの1つである Android.SmsSpy.88.origin は2014年に初めてDoctor Webスペシャリストによって発見されました。その古さにも関わらず、このマルウェアの人気は未だに衰えていません。それどころか、ウイルス開発者によってランサムウェアの機能が追加され、より危険なトロイの木馬へと進化しています。Androidモバイルデバイス向けのバンキングトロイの木馬は被害者のアカウントから金銭を盗むことができるため、モバイルバンキングソフトウェアを使用するユーザーにとって最も危険な脅威の1つであると考えられています。この記事では、 Android.SmsSpy.88.origin の進化について取り上げます。

2014年4月に発見された Android.SmsSpy.88.origin の初期のバージョンは極めて初歩的な構造を持っていました。当初、このトロイの木馬は銀行のワンタイムパスワードを含んだSMSメッセージを横取りすることでテキストメッセージの送信や通話の発信を密かに実行するよう設計されていました。その後、クレジットカードの情報を盗む機能が追加され、中でも特に、ユーザーがGoogle Playまたは有名なロシアの銀行によって開発されたバンキングアプリケーションを起動した際に、動作中のアプリケーションの前面に偽の入力フォームを表示させるようになりました。ユーザーによって入力された情報は直ちにサイバー犯罪者へ送信されます。

screen #drweb

このトロイの木馬の最初のバージョンは全て、ロシアおよびCIS諸国のユーザーを攻撃の対象としており、スパムSMSによって拡散されていました。メッセージにはインターネット上に掲載した通知に対する返答を確認するためのリンクが含まれています。これらのリンクをクリックしてしまったユーザーは無害なプログラムを装った悪意のあるアプリケーションを拡散する偽のWebサイトへとリダイレクトされます。

screen #drweb screen #drweb

その後、このバンキングトロイの木馬を使用した攻撃は大きく減少しましたが、2015年の終わり、世界各地でAndroidデバイスを感染させる、より高度かつ新たな Android.SmsSpy.88.origin の出現がDoctor Webセキュリティリサーチャーによって確認されました。

以前のバージョンと同様、このトロイの木馬もAdobe Flash Playerなどの無害なプログラムを装って拡散されています。起動されると、できる限り長くデバイス上に留まるためにユーザーに対して管理者権限を要求します。

screen #drweb screen #drweb screen #drweb

Android.SmsSpy.88.origin はインターネット接続を確立し、Wi-Fiまたは携帯電話事業者の通信チャンネルを使用することでその接続を維持します。こうして、トロイの木馬はC&Cサーバーと接続されたままの状態を維持し、動作のエラーが発生することを防ぎます。続けて、感染させたデバイスに対しユニークな識別子を生成します。この識別子はその他の技術的情報と共に、感染したデバイスが登録されたサーバーへ送信されます。

Android.SmsSpy.88.origin の主な目的はオンラインバンキングプログラムから認証情報を盗み、それらをサイバー犯罪者へ送信することです。これにより、被害者のアカウントから密かに金銭を盗むことが可能になります。そのために、トロイの木馬はその設定ファイル内で指定されたバンキングアプリケーションがデバイス上で起動しているかどうかを確認します。トロイの木馬が監視することのできるアプリケーションの数は亜種によって異なりますが、Doctor Webではおよそ100のアプリケーションが確認されています。

指定されたアプリケーションの1つが起動されると、 Android.SmsSpy.88.origin はWebViewを使用して、オンラインバンキングプログラムのユーザーアカウントへアクセスするための偽の入力フォームを表示させます。ユーザーが情報を入力すると、それらはサーバーへと送信され、その結果、犯罪者が被害者のバンクアカウントに対するコントロールを掌握します。

screen #drweb screen #drweb screen #drweb

Android.SmsSpy.88.origin の主な特徴として、世界中にあるほとんど全ての銀行のクライアントを攻撃することができるという点が挙げられます。そのために、サイバー犯罪者は偽の認証フォームの新しいテンプレートを作成し、設定ファイルを更新するようトロイの木馬に対してコマンドを送信するだけでいいのです。更新が終わると、必要なバンキングアプリケーションの名前が設定ファイルに追加されます。

ユーザーアカウントのログインおよびパスワードを盗むのみでなく、 Android.SmsSpy.88.origin はユーザーの銀行カードに関する情報を盗もうと試みます。一部のシステムプログラムやポピュラーなアプリケーションの起動を監視し、それらが実行されると直ちにGoogle Play決済サービスの偽のフォームを表示させます。

screen #drweb screen #drweb

このトロイの木馬は、その他の悪意のある動作を実行することも可能です。そのような動作には、SMS およびMMSメッセージを送信する、USSDリクエストを送信する、連絡先リスト上にある全ての番号に対してSMSメッセージを送信する、保存された全てのメッセージをサーバーへ送信する、ロック画面にパスワードを設定する、特別に作成されたダイアログを使用してホーム画面をロックするなどがあります。ホーム画面をロックするコマンドを受け取った場合、トロイの木馬は偽のダイアログを表示させます。ダイアログには、ユーザーはポルノ画像を違法に保存・配信しており、デバイスのロックを解除したければiTunesギフトカードを購入するようにと脅迫するテキストが表示されます。

このように、 Android.SmsSpy.88.origin はバンキングトロイの木馬およびスパイウェアとしてのみでなく、ランサムウェア型トロイの木馬としても動作することで、犯罪者が騙されやすいユーザーから金銭を盗み取ることを可能にしています。

screen #drweb screen #drweb screen #drweb

また、Android.SmsSpy.88.origin は一部のアンチウイルスプログラムやサービスユーティリティの動作を妨害し、それらの起動を妨げるというセルフプロテクション機能も備えています。

2016年の初めより、Doctor Webセキュリティリサーチャーは Android.SmsSpy.88.origin の様々な亜種に感染したモバイルデバイスから成る50を超えるボットネットへのアクセスに成功しています。その分析結果によると、200を超える国で少なくとも40,000台のモバイルデバイスがこのトロイの木馬に感染しています。

感染数の多い国は、トルコ(18.29%)、 インド(8.81%)、 スペイン(6.90%)、 オーストラリア(6.87%)、 ドイツ(5.77%)、 フランス(3.34%)、 米国(2.95%)、 フィリピン(2.70%)、 インドネシア(2.22%)、 イタリア(1.99%)、 南アフリカ(1.59%)、 英国(1.53%)、 パキスタン(1.51%)、 ポーランド(1.1%)、 イラン(0.98%)、 サウジアラビア(0.96%)、 中国(0.92a%)、 バングラデシュ(0.85%)となっています。

screen #drweb

感染したモバイルデバイスの多くはAndroid 4.4(35.71%)、 5.1(14.46%)、 5.0(14.10%)、 4.2(13.00%)、 4.1(9.88%)を搭載したものでした。

screen #drweb

Android.SmsSpy.88.origin が広く拡散されている理由として、開発者はこのプログラムを商用製品として様々なアンダーグラウンドフォーラムで宣伝しているという点が挙げられます。このトロイの木馬の購入者は管理者パネルの含まれたサーバーも入手することができ、これにより感染したデバイスを管理することが可能です。

screen #drweb screen #drweb

このようなバンキングトロイの木馬からスマートフォンやタブレットを守るため、Doctor Webでは以下のガイダンスに従うことを推奨しています:

  • 可能であれば、オンラインバンクでの取引に別のモバイルデバイスを使用する。
  • オンラインバンキングサービス経由での口座からの引き出しに限度額を設定する。
  • 疑わしいSMSメッセージに含まれたリンクをクリックしない。
  • 信頼できないリソースからアプリケーションをダウンロードしない。
  • お使いのデバイスをアンチウイルスソフトウェアで保護する。

Dr.Web for Androidは Android.SmsSpy.88.origin を含んだ既知のアプリケーションを全て検出します。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific〒210-0005神奈川県川崎市川崎区東田町1-2いちご川崎ビル 2F