2016年6月23日

株式会社Doctor Web Pacific

Google Playは依然として最も安全なAndroidアプリストアであると考えられていますが、時として悪意のあるプログラムが発見されることがあります。そのようなプログラムの1つがこの度Doctor Webによって発見された Android.Valeriy.1.origin です。このトロイの木馬は他のマルウェアを拡散し、ユーザーを様々な有料サービスに登録することで収益を得るよう設計されています。

トロイの木馬 Android.Valeriy.1.origin は無害なアプリケーション内に組み込まれた悪意のあるプラグインです。ZvonkoMedia LLC、Danil Prokhorov、horshaomによって提供される6つのAndroidアプリに含まれて、Google Playから配信されています：

• Battery Booster;
• Power Booster;
• Blue Color Puzzle;
• Blue And White;
• Battery Checker;
• Hard Jump - Reborn 3D.

ゲームやユーティリティであるこれらのプログラムは既に15,500を超えるユーザーによってダウンロードされています。また、その後トロイの木馬のC&Cサーバーへのアクセスを取得したDoctor Webセキュリティリサーチャーによって、55,000を超えるダウンロード件数が確認されています。Doctor Webではこの件についてGoogle社に報告を行いましたが、現時点で Android.Valeriy.1.origin を含むアプリケーションは未だダウンロード可能な状態となっています。

これらのアプリケーションが起動されると、 Android.Valeriy.1.origin はサーバーに接続し、特別に生成されたリンクを含んだ指示を受け取ります。トロイの木馬はこのリンクに従って中間のWebサイトへ飛び、様々なパラメータに応じて、最終的なURLへとたどり着きます。多くの場合、このURLはユーザーの携帯番号を入手し、有料サービスに登録させるための疑わしいサイトとなっています。このようなサービスはユーザーに対してアダルトコンテンツの閲覧やポピュラーなソフトウェアのダウンロードなどを提供するものとなっていますが、これらは実際にはGoogle Play上で無料公開されているものです。登録条件に関するすべての情報がWebページ上に記載されているにも関わらず、多くのユーザーはそれに気づかず自身の携帯番号を入力してしまいます。

Android.Valeriy.1.origin はそれらのサイトの1つをWebView内で開き、広告として表示させます。続けて、受信するSMSメッセージの監視を開始します。ユーザーが自身の携帯番号を入力すると登録用の確認コードが送信されますが、それらのメッセージはすべて Android.Valeriy.1.origin によってブロックされます。その結果、被害者は自分がサービスに登録していることに気が付かず、モバイルアカウントからは毎日一定の料金が引き落とされていきます。

このトロイの木馬は、悪意のあるものを含む様々なプログラムをダウンロードする機能も備えています。例として、ダウンローダ型トロイの木馬 Android.DownLoader.355.origin がDoctor Webスペシャリストによって検出されています。また、 Android.Valeriy.1.origin の受け取るコマンドにはWebViewを使用して実行される様々なJavaScriptスクリプトが含まれている場合があります。これらの機能はWebページ上のインタラクティブな要素や広告、リンクを密かにタップするためのもので、例えばユーザーの入力した携帯番号を確認したり、トラフィック統計を増加させたりすることができます。

これら詐欺の被害者とならないために、あらゆるポップアップメッセージや通知に注意を払い、疑わしい入力フォームに携帯番号を入力しないよう気を付けてください。

Android.Valeriy.1.origin の組み込まれたアプリケーションの多くは特別なパッカーによって保護されているため、解析が困難となっています。しかしながら、Dr.Web for Androidは Android.Valeriy.1 および Android.Packed.1 を検出し、それらをモバイルデバイスから削除することが可能です。したがって、Dr.Webユーザーに危害が及ぶことはありません。