2014年2月24日

株式会社Doctor Web Pacific

2014年最初の月は、初のAndroidブートキットの発見を始めとする、セキュリティイベントの相次ぐ月となりました。1月の末には、このマルウェアを利用して構成されるボットネットには85万台の感染したデバイスが含まれており、Doctor Webのアナリストは現在もこのボットネットの監視を続けています。また、1月にはWindowsを狙った新たな悪意のあるプログラムもDr.Webウイルスデータベースに追加されました。

ウイルス

Dr.WebCureIt!によって収集された統計によると、2014年1月に最も多く検出された脅威はTrojan.Packed.24524でした。このトロイの木馬はアドウェアやその他の疑わしいアプリケーションをインストールし、合法ソフトウェアを装って拡散されます。次にTrojan.LoadMoney.1およびTrojan.InstallMonster.38が続き、BackDoor.Bulknet.1329や、BitcoinをマイニングするTrojan.BtcMine.221も多く検出されています。以下の表は、1月にDr.WebCureIt!によって最も多く検出された脅威です。

ボットネット

バックドア機能を備え、様々なアプリケーションからパスワードを盗むファイルインフェクターWin32.Rmnet.12を利用して構成されるボットネットは徐々に拡大を続けています。Doctor Webによってコントロールされる1つ目のサブネットには、1日に平均して約1万8000台の新たな感染したコンピューターが追加されています。以下のグラフは、2014年1月におけるWin32.Rmnet.12ボットネットの拡大推移を表しています。

2014年1月のWin32.Rmnet.12ボットネット拡大推移
（１つ目のサブネット）

2つ目のサブネットでも同様の拡大傾向が見られますが、1日に追加されるコンピューターの数は、1月初めの2万台から1月末の1万2000台へと次第に減少しています。以下のグラフは、2つ目のWin32.Rmnet.12サブネットの拡大推移を表しています。

2014年1月のWin32.Rmnet.12ボットネット拡大推移
（2つ目のサブネット）

Trojan.Rmnet.19ボットネットに含まれる感染したコンピューターの数は、2013年12月末の2,607台から1月29日の2,633台と、ほとんど変化は見られませんでした。

BackDoor.Flashback.39ボットネットに含まれる感染したMac OS Xの台数は、2013年12月末の2万8829台から1月末の2万8160台へと僅かに減少しています。感染件数が最も多かった国はアメリカ（14,733件）、カナダ（5,564件）、イギリス（4,120件）、オーストラリア（1,582件）となっています。ロシアでは2台のMacが感染しています。

新たな広告トロイの木馬

1月、Doctor WebはFacebookを介して拡散される新たな広告トロイの木馬Trojan.Zipvideom.1について報告しました。このトロイの木馬は複数のコンポーネントから成り、そのうちの1つによってMozilla FirefoxおよびGoogle Chrome向けの悪意のあるプラグインがコンピューター上にダウンロード・インストールされます。

これらのプラグインは広告を表示させることでインターネットサーフィンを妨げ、その上、さらに別のマルウェアをコンピューター上にダウンロードすることもあります。また、ブラウザウィンドウでポピュラーなソーシャルネットワーキングサイト（Twitter、Facebook、Google、YouTube、VKontakte）を開いた際に疑わしいJavaスクリプトをダウンロードしていることも明らかになりました。

Androidに対する脅威

2014年1月には、Androidを狙った初のブートキットの出現がありました。Android.Oldboot.1としてDr.Webウイルスデータベースに追加されたこのトロイの木馬は、感染したデバイスのメモリ内に潜み、OS起動の早い段階で自身を起動させてブートキットとして動作します。このことが、トロイの木馬を完全に削除することを困難にしています。Android.Oldboot.1は起動されると、そのコンポーネントの1つをシステムフォルダ内に置き、Androidアプリケーションとしてインストールさせます。Dr.Web for AndroidによってAndroid.Oldboot.2およびAndroid.Oldboot.1.originとして検出される、それらトロイの木馬コンポーネントは、リモートサーバーに接続し、受け取ったコマンドを実行（特定のアプリケーションをダウンロード・インストール・削除するなど）します。

1月末にDoctor Webのウイルスアナリストによって収集された統計によると、Android.Oldboot.1は、ヨーロッパ、東南アジア、アメリカで82万6000台を超えるモバイルデバイスを感染させていますが、そのほとんどが中国のデバイスとなっています。Android.Oldbootが特に中国のAndroidデバイスを標的として作られたものであることが分かります。

感染したデバイスの国別分布

この脅威に関する詳細はこちらの記事をご覧ください。

1月に中国のデバイスを狙って拡散された悪意のあるもう1つのアプリケーションにAndroid.Spy.67.originがあります。このトロイの木馬はソフトウェアアップデートやポピュラーなアプリケーションを装って拡散され、モバイルデバイスのメイン画面にショートカットまで作成していました。

このトロイの木馬は起動されるとショートカットを削除し、SMSや通話の履歴、GPS位置情報を含む個人情報を収集します。また、モバイルデバイスのカメラやマイクを起動させることができ、さらに、画像のリストやサムネイルを作成することもあります。取得した情報は全て犯罪者の管理するサーバーに送信されます。ルートアクセスを取得した場合は、そのウイルスデータベースを削除することで中国のポピュラーなアンチウイルスの動作を妨げ、悪意のあるプログラムをインストールします。このプログラムが、他のアプリケーションを密かにインストールさせます。この悪意のあるプログラムはAndroid.RootInst.1.originとしてウイルスデータベースに追加されています。

1月には、Google Play上でも悪意のあるプログラムが発見されました。中でも特に、Android.Click.3.originと名付けられたトロイの木馬は、Real Basketballというゲームを装って拡散されていました。

インストールされたこのトロイの木馬は、ゲームをインストールしたつもりのユーザーの期待を裏切り、予め用意されたリスト上にあるサイトを密かに開き、それらのサイト上でバナーをクリックすることで犯罪者に利益をもたらします。Android.Click.3.originのダウンロード件数は1万件を超えています。

また、1月には韓国でもAndroid向けの悪意のあるアプリケーションの拡散が続きました。Doctor Webによって、2013年12月よりも僅かに少ない140件の感染が確認されています。最も多く拡散されたトロイの木馬はAndroid.Backdoor.31.origin（55%）、 Android.Spy.71（9%）、Android.Spy.45.origin（8%）、Android.Spy.47.origin（4%）、Android.Spy.74（3%）となっています。発見されたマルウェアには、既知のプログラムの新たなバージョンも多く含まれており、韓国のモバイル市場に対する犯罪者の関心の高さを物語っています。

1月にSMSスパムを介して韓国で拡散されたAndroid向けマルウェア

1月にメールトラフィック内で検出されたマルウェアTop20

1月にユーザーのコンピューター上で検出されたマルウェアTop20