2018年3月13日
株式会社Doctor Web Pacific
検出されたプログラムは、人気アプリケーションと同じ名前、そしてそっくりなアイコンを持っています。Doctor Webのセキュリティリサーチャーによって、偽のQIWIアプリケーション(ロシアの決済サービスプロバイダ)、 Sberbank Online、 Odnoklassniki およびVK(人気のソーシャルネットワーク)、 NTV(ロシアのテレビチャンネル)が見つかっています。以下の画像では、サイバー犯罪者がどのように被害者を騙すのかが分かります。左の画像は、Google Play上で簡単に見つけることのできる偽アプリケーションのページです。そして右の画像は本物のアプリケーションのページです。
偽のアプリケーションは起動される度にC&Cサーバーに接続し、サーバーは「none」パラメータで応答するか、またはサイバー犯罪者によって指定されたWebリンクを送信します。パラメータを受信すると、悪意のあるプログラムはリソースから複数の画像を抽出してユーザーに対して表示します。Webリンクを受信した場合はWebページを読み込み、表示させます。このページはWebViewを介してアプリケーション内で直接開かれます。ユーザーには、ターゲットとなるインターネットアドレスへのリンクは表示されません。表示されるWebページのコンテンツはさまざまです。例えば、スマートフォンユーザーに対しては、オンラインバンキングシステムやソーシャルネットワークの偽のログインフォームが表示されます。その上、Androidスマートフォンやタブレットのユーザーは、フィッシング攻撃を受ける危険性があります。この機能は深刻な脅威となることから、当該ソフトウェアは Android.Click.415 としてDr.Webウイルスデータベースに追加されました。
上記トロイの木馬の他に、70を超える同じようなプログラムがDoctor Webセキュリティリサーチャーによって発見されており、27万人以上のユーザーがそれらをダウンロードしています。それらのアプリケーションには、偽のゲーム、レシピコレクション、編み物マニュアルなどがあり、その一部には謳われた機能を実際に実行するものもあります。しかしながら、 Android.Click.415 と同様にC&CサーバーからあらゆるWebページのリンクを受け取ることもでき、それらのWebページを読み込み、ユーザーに対して表示させる機能を備えています。これらのプログラムもまた、 Android.Click.416 および Android.Click.417 としてウイルスデータベースに追加されました。また、悪意のあるアプリケーションのさまざまな亜種が、動作中にモバイルデバイスの画面上に常に広告を表示させます。
Tezov apps、 Aydarapps、 Chmstudio、 SVNGamesの少なくとも4つのソフトウェアデベロッパーがトロイの木馬を拡散しています。Doctor Webでは、検出されたすべての悪意のあるアプリケーションについてGoogle社に報告しましたが、本記事掲載時点で、アプリケーションは未だダウンロード可能な状態となっています。
Doctor Webでは、たとえGoogle Playのような信頼できるソースからアプリケーションをインストールする場合であっても、ソフトウェアデベロッパーの名前に注意を払う必要があるということにユーザーの注意を喚起しています。サイバー犯罪者は、アプリの外観をコピーし、似たような名前を使用することで、ソフトウェア配信サービスで簡単に見つけることのできる偽のアプリをユーザーにインストールさせることができます。Dr.WebのAndroid向けアンチウイルス製品は Android.Click.415 、 Android.Click.416 、 Android.Click.417 のすべての既知の亜種を検出・削除することができます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments