Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

2016年3月のモバイルマルウェア

2016年4月1日

株式会社Doctor Web Pacific


Doctor Webは、2016年3月における、モバイルデバイスを狙った脅威についての総括をここに報告します。3月にはポピュラーなAndroidアプリケーションおよびモバイルデバイス数十機種のファームウェアを感染させるアドウェア型トロイの木馬が発見されています。また、自身をAndroidシステムプロセスや動作中のアプリケーションのプロセス内に挿入することのできる危険なトロイの木馬についての解析がDoctor Webセキュリティリサーチャーによって行われました。


3月の主な傾向

  • ポピュラーなAndroidアプリケーションおよびモバイルデバイス数十機種のファームウェアを感染させるAndroid 向けトロイの木馬の検出
  • 100を超えるGoogle Playアプリ内で広告スパイウェアを検出
  • Androidシステムプロセスやその他のプログラムのプロセス内に自身を挿入することのできる危険なトロイの木馬に関する解析が完了

3月のモバイル脅威

3月には、 TrendMicro Dr.Safety、 TrendMicro Dr.Booster、 Asus WebStorageなどのアプリケーションを感染させ、40機種のモバイルデバイス上にプリインストールされていた悪意のあるプログラム Android.Gmobi.1 が発見されています。 Android.Gmobi.1 は、通常はモバイルデバイスメーカーまたはソフトウェア開発者によって使用される専門的なプログラムであるSDK(Software Development Kit)プラットフォームであり、トロイの木馬として作成されたものではないと考えられます。しかしながら、このモジュールは典型的なアドウェアとしての機能を持っています。

screen Android.Gmobi.1 #drweb

すなわち、 Android.Gmobi.1 はステータスバーや動作中のアプリケーションの前面などに迷惑な広告を表示させることができます。また、ユーザーの承認なしにホーム画面上にショートカットを作成し、ブラウザまたはGoogle Play内に広告ウェブページを開き、様々なソフトウェアをダウンロード・インストール・起動する機能を備えています。その他にも、個人情報を収集し、それらをリモートサーバーへ送信することでスパイウェアとして動作することが可能です。この脅威に関する詳細についてはこちらの記事をご覧ください。

Dr.Web for Androidによる統計

According to statistics collected by Dr.Web for Android #drweb

  • Adware.WalkFree.1.origin

  • Adware.Leadbolt.12.origin

  • Adware.AdMogo.2.origin

    Android アプリケーション内に組み込まれ、モバイルデバイス上に広告を表示させる不審なプログラムモジュールです。
  • Android.Xiny.26.origin

    ルート権限を取得して自身をシステムレジストリ内にインストールし、ユーザーの承認なしに様々なアプリケーションをインストールするトロイの木馬です。また、迷惑な広告を表示させる機能も備えています。
  • Adware.Airpush.31.origin

    Androidアプリケーション内に組み込まれた不審なプログラムモジュールです。モバイルデバイス上に広告を表示させます。

スパイウェア

3月の終わりには、Google Play上で配信されている100を超えるアプリケーション内で、広告を表示させるスパイウェア型トロイの木馬 Android.Spy.277.origin が検出されました。このマルウェアは主にポピュラーなソフトウェアの偽のバージョンに含まれて拡散されていました。 Android.Spy.277.origin の実行する悪意のある動作には、個人情報をサーバーに送信する、迷惑な広告を表示させる、などがあります。

screen Android.Spy.277.origin #drweb screen Android.Spy.277.origin #drweb

中でも特に、 Android.Spy.277.origin は動作中のアプリケーションやOSインターフェイスの前面に広告を表示させ、ホーム画面にショートカットを作成し、ステータスバーに通知を表示させ、ブラウザ内で自動的にWebページを開くことができます。この脅威に関する詳細についてはこちらの記事をご覧ください。

注目すべきトロイの木馬

3月、 Android.Triada ファミリーに属するトロイの木馬に関する解析がDoctor Webスペシャリストによって行われました。これらのトロイの木馬は重要なAndroidシステムプロセス(Zygote)内に自身を挿入することができ、サイバー犯罪者のコマンドに応じて悪意のある動作を実行します。Zygoteはアプリケーションの起動を司るプロセスです。このプロセスは、アプリケーションを起動させる際に、システムライブラリおよびその他の必要なコンポーネントを含んだ自身のコピーを作成します。そのため、Zygote内に挿入されたトロイの木馬は動作中の全てのアプリケーションのプロセスを感染させることができ、その結果、それらアプリケーションの名を借りて、またはそれらアプリケーションの権限を使用して悪意のある動作を実行することが可能です。

Android.Triada の持つ主な悪意のある機能は、密かにSMSを送信し、感染したデバイスのユーザーから送信されたメッセージのテキストや電話番号を変更するというものです。さらに、その他の悪意のある動作を実行するためにサーバーから追加のモジュールをダウンロードすることができます。

注目すべき点として、 Android.Triada にはセルフプロテクション機能が搭載されています。中でも特に、中国の複数のポピュラーなアンチウイルスプログラムの動作を監視し、終了させようと試みます。また、自身のコンポーネントの整合性を管理することができ、悪意のあるコンポーネントのうちいずれかが削除されると、デバイスのRAMからそのコンポーネントを復元します。

Android.Triada の出現によって、 Androidモバイルデバイスを標的とするマルウェアはより危険で複雑になり、今や Windows向けトロイの木馬とほとんど肩を並べる程度にまで進化しているということが今一度証明される形となりました。Doctor WebではAndroidマルウェアの状況について注意深く監視を続け、新たに登場する悪意のあるアプリケーションのシグネチャをタイムリーにDr.Weウイルスデータベースへ追加していきます。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F