ユーザー向け情報

閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

検索
検索

電話
テクニカルサポート利用方法

問い合わせ

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

フォーラム(英語)

お問い合わせ履歴

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

Profile

JP

RU CN DE EN ES FR IT JP KZ UZ PL BY
閉じる
News

カテゴリ別のニュース

ウィルスアラート
インフォーマー
プレスセンター

ニュース一覧に戻る

Doctor Web、ダウンロード数200万を超える悪意のあるアプリケーションをGoogle Play上で発見

2017年11月13日

株式会社Doctor Web Pacific


Doctor Webのスペシャリストは、トロイの木馬 Android.RemoteCode.106.origin を含んだ複数のアプリケーションををGoogle Play上で発見しました。この悪意のあるプログラムは密かにWebサイトを開き、それらのサイト上にある広告リンクやバナーを辿ることでアクセス数を増加させます。また、フィッシング攻撃を実行し、機密情報を盗む目的で使用されることもあります。

Android.RemoteCode.106.origin は9つのプログラムで検出されており、これらのプログラムは合計で237万~1170万のユーザーによってダウンロードされています。該当するアプリケーションは以下のとおりです:

  • Sweet Bakery Match 3 – Swap and Connect 3 Cakesバージョン3.0
  • Bible Triviaバージョン1.8
  • Bible Trivia – FREEバージョン2.4
  • Fast Cleaner lightバージョン1.0
  • Make Money 1.9
  • Band Game: Piano, Guitar, Drumバージョン1.47
  • Cartoon Racoon Match 3 - Robbery Gem Puzzle 2017バージョン1.0.2
  • Easy Backup & Restoreバージョン4.9.15
  • Learn to Singバージョン1.2

Doctor Webでは、アプリケーションに Android.RemoteCode.106.origin が含まれていることについてGoogle社に報告を行いました。本記事掲載時点で、一部のアプリケーションではアップデートが行われ、トロイの木馬は検出されなくなっています。しかしながら、残りのアプリケーションは未だトロイの木馬が含まれた危険な状態のままとなっています。

screenshot Android.RemoteCode.106.origin #drweb screenshot Android.RemoteCode.106.origin #drweb
screenshot Android.RemoteCode.106.origin #drweb screenshot Android.RemoteCode.106.origin #drweb
screenshot Android.RemoteCode.106.origin #drweb

悪意のある活動を開始する前に、 Android.RemoteCode.106.origin はいくつかのチェックを行います。感染したモバイルデバイスに一定の数の写真、連絡先、通話履歴がない場合、トロイの木馬は動作を行いません。特定の条件が満たされた場合、トロイの木馬はC&Cサーバーにリクエストを送信し、応答メッセージ内で受け取ったリンクを辿ろうと試みます。成功すると、 Android.RemoteCode.106.origin はその主要な機能を使用します。

このトロイの木馬は動作に必要なモジュールのリストをC&Cサーバーからダウンロードします。そのうちの1つは Android.Click.200.origin としてDr.Webのウイルスデータベースに追加されました。このモジュールはWebサイトのアドレスをC&Cから受け取り、ブラウザ内で自動的にそのサイトを開きます。この機能はインターネットリソースのアクセス数を増やすために使用されるほか、トロイの木馬が偽のページを開くタスクを受け取った場合にはフィッシング攻撃にも使用されます。

Android.Click.199.origin と名付けられた2つ目のモジュールは、 Android.Click.201.origin としてウイルスデータベースに追加された3つ目のコンポーネントの動作を可能にします。

Android.Click.199.origin の主なタスクは Android.Click.201.origin をダウンロード・起動・アップデートすることです。

Android.Click.201.origin は起動されるとサーバーに接続し、タスクを受け取ります。これらのタスクには、トロイの木馬がWebViewを使用して非表示モードで開くWebサイトのアドレスが含まれています。それらのWebサイトを開くと、 Android.Click.201.origin はコマンドで指定された広告バナーやページ上にある任意のエレメントを自動的にクリックします。この動作は、決められたクリック数に達するまで続けられます。

したがって、 Android.RemoteCode.106.origin の主な目的はWebサイトのアクセス数を増加させるための悪意のある追加のモジュールをダウンロード・起動させ、広告リンクを辿ることにあります。これらの動作によって、サイバー犯罪者に収益がもたらされます。そのほか、このトロイの木馬はフィッシング攻撃を実行し、機密情報を盗む目的でも使用されることがあります。

Dr.Web for Androidは Android.RemoteCode.106.origin とその追加モジュールを含むすべてのアプリケーションを検出することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。 Android.RemoteCode.106.origin を含んだアプリケーションが検出された場合は、そのアプリケーションを削除するか、またはトロイの木馬を含んでいないアップデートされたバージョンが入手可能であるかどうかを確認してください。

Android.RemoteCode.106.originの詳細(英語)

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments