2018年4月26日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストは、トロイの木馬 Android.RemoteCode.152.origin の埋め込まれたアプリケーションをGoogle Play上で発見しました。この悪意のあるプログラムはアドウェアプラグインを含んだ追加のモジュールを密かにダウンロードし、起動させます。それらを使用して、 Android.RemoteCode.152.origin は見えない広告をダウンロードし、それらをクリックすることでウイルス作成者に収益をもたらします。

Android.RemoteCode.152.origin は、2017年より知られているトロイの木馬 Android.RemoteCode.106.origin の新しいバージョンです。Doctor Webでは Android.RemoteCode.106.origin について11月に記事を発表しています。この悪意のあるプログラムはソフトウェアモジュールであり、ソフトウェア開発者が自分たちのアプリケーション内に埋め込んでGoogle Play経由で拡散していました。 Android.RemoteCode.106.origin の主な機能は、広告Webページをダウンロードしてそこにあるバナーをクリックするよう設計されている、補助プラグインを密かにダウンロード・起動することです。 Android.RemoteCode.106.origin の新しいバージョンも同様の動作を行います。

トロイの木馬が埋め込まれたアプリケーションが初めて起動された後、 Android.RemoteCode.152.origin は一定の間隔で自動的に動作を開始し、デバイスの再起動後に自動的に起動します。したがって、 Android.RemoteCode.152.origin が動作するために、モバイルデバイスのユーザーが感染したアプリケーションを絶えず使用する必要はありません。

この悪意のあるプログラムは起動時に管理サーバーからトロイの木馬のモジュールの1つ (Android.Click.249.origin としてDr. Webのウイルスデータベースに追加されています) をダウンロードし、起動させます。このコンポーネントは、アプリケーションを収益化するよう設計された MobFox SDK広告プラットフォームをベースにした、また別のモジュールをダウンロードして起動させます。これを使用して、トロイの木馬は様々な広告やバナーを密かに作成し、それらをクリックすることでウイルス作成者に収益をもたらします。また、 Android.RemoteCode.152.origin はモバイルマーケティングプラットフォーム AppLovin に接続し、さらなる収益を得るために同じく広告をダウンロードします。

Doctor Webのウイルスアナリストによって、このトロイの木馬の埋め込まれたアプリケーションが複数、Google Play上で発見されています。それらはすべてゲームアプリで、ダウンロード数は合計で650万件を超えています。Doctor Webは発見したプログラムについてGoogle社に報告を行い、本記事掲載時点でいくつかのアプリケーションがGoogle Playから削除されています。また、一部のアプリケーションでは、悪意のあるモジュールの削除されたアップデートがリリースされています。

Android.RemoteCode.152.origin は、次のプログラムで発見されています。

• Beauty Salon - Dress Up Game、バージョン5.0.8
• Fashion Story - Dress Up Game、バージョン5.0.0
• Princess Salon - Dress Up Sophie、バージョン5.0.1
• Horror game - Scary movie quest、バージョン1.9
• Escape from the terrible dead、バージョン1.9.15
• Home Rat simulator、バージョン2.0.5
• Street Fashion Girls - Dress Up Game、バージョン6.07
• Unicorn Coloring Book、バージョン134

Doctor Webのスペシャリストによるさらなる分析の結果、そのほかにも、すでにGoogle Playから削除されている、 Android.RemoteCode.152.origin を含んだ複数のアプリケーションが特定されています。

• Subwater Subnautica、バージョン1.7
• Quiet, Death! 、バージョン1.1
• Simulator Survival、バージョン0.7
• Five Nigts Survive at Freddy Pizzeria Simulator、バージョン12
• Hello Evil Neighbor 3D、バージョン2.24
• The Spire for Slay、バージョン1.0
• Jumping Beasts of Gang、バージョン1.9
• Deep Survival、バージョン1.12
• Lost in the Forest、バージョン1.7
• Happy Neighbor Wheels、バージョン1.41
• Subwater Survival Simulator、バージョン1.15
• Animal Beasts、バージョン1.20

以下の画像は、 Android.RemoteCode.152.origin の埋め込まれたソフトウェアの例です。

モバイルデバイスが悪意のあるプログラムや不要なプログラムに感染するリスクを減らすため、Doctor Webでは既知の信頼できる開発者によるアプリケーションのみをインストールすることを推奨しています。Android向けのDr.Webアンチウイルス製品は、 Android.RemoteCode.152.origin の既知の亜種をすべて検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

[Android.RemoteCode.152.originの詳細]

#Android, #Google_Play, #ad_software, #Trojan