2015年10月30日

株式会社Doctor Web Pacific

Doctor Webは、2015年10月における、Androidデバイスを狙った脅威についての総括をここに報告します。10月は、サイバー犯罪者はモバイルデバイスに対する興味を失ったわけではないということが改めて示された月となりました。10月の初めにはiOSを標的としたまた別のトロイの木馬が出現し、その後、Google Play上で新たな悪意のあるプログラムが検出されました。月末には悪意のあるアプリケーションに感染したAndroidファームウェアが新たに発見され、スマートフォンやタブレットのユーザーから金銭を盗むよう設計されたバンキングトロイの木馬の新たな出現がありました。

Dr. Web Androidウイルスデータベースに追加された悪意のある、または望まないソフトウェアのエントリ数

10月のモバイル脅威

10月の初め、iOSを標的とする新たなトロイの木馬が発見され、IPhoneOS.Trojan.YiSpecter.2と名付けられました。このプログラムは無害なアプリケーションを装い、主に中国のユーザーの間で拡散されていました。ユーザーがアダルトサイトを訪れて動画を見ようとすると、特別な動画プレイヤーをインストールするよう促されます。動画を再生するために必要な全ての機能を備えたこのプレイヤーに、トロイの木馬が含まれています。サイバー犯罪者はこの悪意のあるプログラムを拡散するために、企業によって用いられる配信手法を使用しています。ユーザーがApp Store以外のソースからアプリケーションをインストールすることを可能にするこの方法によって、IPhoneOS.Trojan.YiSpecter.2は脱獄しているいないにかかわらずあらゆるスマートフォンやタブレット上にインストールされます。

  

IPhoneOS.Trojan.YiSpecter.2は以下の機能を備えています：

• 感染させたモバイルデバイスに関する情報をC&Cサーバーに送信する
• トロイの木馬の動作に必要な追加のモジュールをインストールする
• C&Cサーバーからのコマンドに応じてプログラムをアンインストール、または偽のコピーと置き換える
• iOSデバイス上に広告を表示させる
• トロイの木馬またはそのコンポーネントがユーザーによって削除された場合、悪意のあるモジュールがそれらを再インストールする

Google Play上のトロイの木馬

10月にはGoogle Play上でまた別のトロイの木馬が発見されました。Android.PWS.3と名付けられたこのトロイの木馬はVkontakte（ВКонтакте）ユーザー向けのオーディオプレイヤーを装って拡散されていました。インストールされると、Android.PWS.3はVkontakteアカウントにログインするよう被害者を誘導し、それらしく見える認証フォームを表示させます。ユーザーがログインとパスワードを入力すると、それらの情報がサイバー犯罪者へと送信されます。また、このトロイの木馬は、C&Cサーバーとの接続が確立されるとそこからVkontakteの様々なグループのリストを受け取り、それらのグループを感染させたデバイスのユーザーに自動的に追加することでコミュニティを広げます。

  

ファームウェアトロイの木馬

Doctor Webでは、悪意のあるアプリケーションに感染したAndroidファームウェアがほぼ毎月のように新たに発見されています。10月も例外ではなく、Android.Cooee.1と名付けられた悪意のあるプログラムが複数のモバイルでバイス上にプリインストールされていました。このマルウェアはランチャーアプリケーション（Androidグラフィカルシェル）内に組み込まれ、広告を表示させるモジュールを複数含んでいます。また、このマルウェアは追加の広告パッケージを持つほか、別のアプリケーションをダウンロード・起動させる機能も備えています。そのようなアプリケーションには悪意のあるものも含まれ、中でも特にAndroid.DownLoader.225は感染させたデバイス上に様々なプログラムを密かにダウンロードするよう設計されていました。

Android.Cooee.1を含んだランチャーアプリケーションがユーザーによって削除されると、デバイスの電源を入れた際にOSが正しく起動しなくなります。そのためユーザーは、削除する前に同じランチャーアプリケーションの別のバージョンをインストールし、それをデフォルトに設定するよう促されます。

バンキングトロイの木馬

10月も、Androidデバイスを標的とする様々なバンキングトロイの木馬の出現が続きました。そのうちの1つであるAndroid.BankBot.80.originはロシアの金融機関の公式バンキングアプリケーションを装って拡散されていました。このトロイの木馬はインストールされて起動されると管理者権限を要求します。権限を取得すると、ユーザーの連絡先リストをスキャンし、全ての番号に対して「Hi!私に投票してね！http://******konkurs.ru/（Привет, проголосуй за меня http://******konkurs.ru/）」というSMSメッセージを送信します。このメッセージのリンクをクリックすると、写真コンテストを装った詐欺サイトへと飛ばされます。そのサイトから、Dr.WebによってAndroid.SmsBot.472.originとして検出されるトロイの木馬の亜種が被害者のデバイス上にダウンロードされます。さらに、サイトでは投票に必要な特別なプログラムをインストールするよう促されますが、このプログラムはまた別のバージョンのAndroid.BankBot.80.originです。

 

このトロイの木馬は以下の機能を備えています：

• 公式オンラインバンキングアプリケーションや投票プログラムなどの正規のソフトウェアを装う
• 管理者権限を要求するプロンプトを頻繁に表示させ、ユーザーのデバイス操作を妨げる
• ユーザーの全ての連絡先に対して偽のwebサイトへのリンクを含んだSMSメッセージを送信し、そのサイトから被害者のデバイス上にトロイの木馬の亜種をダウンロードさせる
• モバイルアカウント、バンクアカウント、決済システムアカウントから金銭を盗む
• ユーザーが通話の着信を受け取ることができないよう、特定の番号へ着信を転送する

Dr.Webウイルスデータベース内に含まれるバンキングトロイの木馬 Android.BankBot ファミリーのエントリ数：

Dr.Webウイルスデータベース内に含まれるマルチコンポーネントトロイの木馬 Android.SmsSendファミリーのエントリ数：