2015年10月30日
株式会社Doctor Web Pacific
10月の主な傾向
- iOSデバイスを標的とする危険なトロイの木馬の検出
- Google Play上でまた別の悪意のあるプログラムを検出
- 悪意のあるアプリケーションに感染したAndroidファームウェアの新たな出現
- Androidを標的とする新たなバンキングトロイの木馬の拡散
Dr. Web Androidウイルスデータベースに追加された悪意のある、または望まないソフトウェアのエントリ数
2015年9月 | 2015年10月 | 推移 |
---|---|---|
14,033 | 15,135 | +7.85% |
10月のモバイル脅威
10月の初め、iOSを標的とする新たなトロイの木馬が発見され、IPhoneOS.Trojan.YiSpecter.2と名付けられました。このプログラムは無害なアプリケーションを装い、主に中国のユーザーの間で拡散されていました。ユーザーがアダルトサイトを訪れて動画を見ようとすると、特別な動画プレイヤーをインストールするよう促されます。動画を再生するために必要な全ての機能を備えたこのプレイヤーに、トロイの木馬が含まれています。サイバー犯罪者はこの悪意のあるプログラムを拡散するために、企業によって用いられる配信手法を使用しています。ユーザーがApp Store以外のソースからアプリケーションをインストールすることを可能にするこの方法によって、IPhoneOS.Trojan.YiSpecter.2は脱獄しているいないにかかわらずあらゆるスマートフォンやタブレット上にインストールされます。
IPhoneOS.Trojan.YiSpecter.2は以下の機能を備えています:
- 感染させたモバイルデバイスに関する情報をC&Cサーバーに送信する
- トロイの木馬の動作に必要な追加のモジュールをインストールする
- C&Cサーバーからのコマンドに応じてプログラムをアンインストール、または偽のコピーと置き換える
- iOSデバイス上に広告を表示させる
- トロイの木馬またはそのコンポーネントがユーザーによって削除された場合、悪意のあるモジュールがそれらを再インストールする
Google Play上のトロイの木馬
10月にはGoogle Play上でまた別のトロイの木馬が発見されました。Android.PWS.3と名付けられたこのトロイの木馬はVkontakte(ВКонтакте)ユーザー向けのオーディオプレイヤーを装って拡散されていました。インストールされると、Android.PWS.3はVkontakteアカウントにログインするよう被害者を誘導し、それらしく見える認証フォームを表示させます。ユーザーがログインとパスワードを入力すると、それらの情報がサイバー犯罪者へと送信されます。また、このトロイの木馬は、C&Cサーバーとの接続が確立されるとそこからVkontakteの様々なグループのリストを受け取り、それらのグループを感染させたデバイスのユーザーに自動的に追加することでコミュニティを広げます。
ファームウェアトロイの木馬
Doctor Webでは、悪意のあるアプリケーションに感染したAndroidファームウェアがほぼ毎月のように新たに発見されています。10月も例外ではなく、Android.Cooee.1と名付けられた悪意のあるプログラムが複数のモバイルでバイス上にプリインストールされていました。このマルウェアはランチャーアプリケーション(Androidグラフィカルシェル)内に組み込まれ、広告を表示させるモジュールを複数含んでいます。また、このマルウェアは追加の広告パッケージを持つほか、別のアプリケーションをダウンロード・起動させる機能も備えています。そのようなアプリケーションには悪意のあるものも含まれ、中でも特にAndroid.DownLoader.225は感染させたデバイス上に様々なプログラムを密かにダウンロードするよう設計されていました。
Android.Cooee.1を含んだランチャーアプリケーションがユーザーによって削除されると、デバイスの電源を入れた際にOSが正しく起動しなくなります。そのためユーザーは、削除する前に同じランチャーアプリケーションの別のバージョンをインストールし、それをデフォルトに設定するよう促されます。
バンキングトロイの木馬
10月も、Androidデバイスを標的とする様々なバンキングトロイの木馬の出現が続きました。そのうちの1つであるAndroid.BankBot.80.originはロシアの金融機関の公式バンキングアプリケーションを装って拡散されていました。このトロイの木馬はインストールされて起動されると管理者権限を要求します。権限を取得すると、ユーザーの連絡先リストをスキャンし、全ての番号に対して「Hi!私に投票してね!http://******konkurs.ru/(Привет, проголосуй за меня http://******konkurs.ru/)」というSMSメッセージを送信します。このメッセージのリンクをクリックすると、写真コンテストを装った詐欺サイトへと飛ばされます。そのサイトから、Dr.WebによってAndroid.SmsBot.472.originとして検出されるトロイの木馬の亜種が被害者のデバイス上にダウンロードされます。さらに、サイトでは投票に必要な特別なプログラムをインストールするよう促されますが、このプログラムはまた別のバージョンのAndroid.BankBot.80.originです。
このトロイの木馬は以下の機能を備えています:
- 公式オンラインバンキングアプリケーションや投票プログラムなどの正規のソフトウェアを装う
- 管理者権限を要求するプロンプトを頻繁に表示させ、ユーザーのデバイス操作を妨げる
- ユーザーの全ての連絡先に対して偽のwebサイトへのリンクを含んだSMSメッセージを送信し、そのサイトから被害者のデバイス上にトロイの木馬の亜種をダウンロードさせる
- モバイルアカウント、バンクアカウント、決済システムアカウントから金銭を盗む
- ユーザーが通話の着信を受け取ることができないよう、特定の番号へ着信を転送する
Dr.Webウイルスデータベース内に含まれるバンキングトロイの木馬 Android.BankBot ファミリーのエントリ数:
2015年9月 | 2015年10月 | 推移 |
---|---|---|
142 | 148 | +4.2% |
Dr.Webウイルスデータベース内に含まれるマルチコンポーネントトロイの木馬 Android.SmsSendファミリーのエントリ数:
2015年9月 | 2015年10月 | 推移 |
---|---|---|
520 | 550 | +5.8% |
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments