2018年9月3日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストは、違法に収益を得るために使用されている数十の悪意のあるアプリケーションをGoogle Play上で検出しました。これらのプログラムは便利なソフトウェアや人気のソフトウェアを装って提供され、様々な詐欺手法に使用されています。また、その内の多くは他のトロイの木馬を拡散するために使用される可能性があります。

検出されたプログラムの1つである Android.Click.265.origin は、有料のモバイルサービスにユーザーを登録させるために使用されています。これは、長年にわたりサイバー犯罪者によって使用されてきた、良く知られた種類のネットワーク詐欺手法です。 Android.Click.265.origin は取引ネットワーク 『Eldorado』 のオンラインストアで使用する公式アプリケーションを装っています。Doctor Webのセキュリティリサーチャーは、トロイの木馬によるGoogle Playへの侵入の試みを2件検出しました。本記事掲載時点で、2種類の亜種がGoogle Playから削除されています。

Android.Click.265.origin は実際に謳われている機能を実行します。すなわち、 『Eldorado』 オンラインストアのモバイル版をウィンドウで開き、をれを通常通りに動作させます。しかしその一方で、 Android.Click.265.origin は好ましくない動作も実行します。このトロイの木馬は迷惑な広告を表示させ、また、有料のモバイルサービスのページを開き、該当するボタンを自動でクリックしてユーザーを登録させます。その後、ユーザーのモバイルアカウントから一定の金額が毎日引き落とされます。

Android.Click.248.origin は、Androidスマートフォンやタブレットのユーザーを有料サービスに登録させる詐欺手法に使用されていたまた別のトロイの木馬です。この悪意のあるプログラムは今年の4月よりDoctor Webのセキュリティリサーチャーに知られているもので、8月には再びGoogle Playから拡散されました。前回同様、 Android.Click.248.origin は 『Yula』 オンライン掲示板や AliExpress オンラインストア、 Yandex社の音声アシスタント 『Alisa』 のクライアントアプリケーションなど、良く知られたソフトウェアを装っていました。

このトロイの木馬は、ユーザーに対して良く知られたプログラムをダウンロードするよう提案するか、または報酬を受け取るよう促すフィッシングサイトの1つを開きます。そこでユーザーは携帯電話番号を入力するよう求められます。確認コードを受け取るためという名目ですが、実際には、このコードは有料サービスへの登録を確定するために使用されます。感染したデバイスがモバイル通信でインターネットに接続されている場合、このWebサイトに電話番号を入力した後、Androidデバイスのユーザーは自動的に有料サービスに登録されます。以下の画像は Android.Click.248.origin によって開かれる詐欺サイトの例です。

Google Playから拡散されていた8月に検出された悪意のあるプログラムの中には、そのほかにも Android.Click ファミリーの多くの亜種が含まれていました。Doctor Webのセキュリティスペシャリストによって分析されたこのファミリーの亜種は 『Olimp』、 『Fonbet』、 『The League of bets』、 『1xBet』、 『Winline』などの複数のブックメーカー（賭けサイト）の公式プログラムを装って拡散されていました。合計で44の開発者によって配信されていた127の悪意のあるプログラムがDoctor Webのセキュリティリサーチャーによって検出されています。Google社はこれらのアプリケーションを即座にGoogle Playから削除していますが、サイバー犯罪者たちは毎日のようにそれらを新たに追加し続けています。

起動すると、これらのトロイの木馬はC&Cサーバーに接続し、ユーザーに対して表示させるWebサイトをダウンロードするためのコマンドを受け取ります。現時点では、ブックメーカーの公式ページを開くようになっており、また、トロイの木馬のアプリケーション名は開かれるWebサイトとはまったく関係がありません。しかしながら、C&Cサーバーは、他の悪意のあるプログラムがAndroidデバイス上にダウンロードされる可能性のある不正なまたは有害なオンラインポータルを含む、他のあらゆる任意のWebリソースを開くよう指示するコマンドをトロイの木馬に与えることもできます。このことから、これらトロイの木馬は非常に危険であると言えます。

8月に検出されたまた別の詐欺トロイの木馬は、『Opros』（Survey：調査）と呼ばれるアプリケーション内に潜んでいました。 Android.FakeApp.110としてウイルスデータベースに追加されたこのトロイの木馬の作成者は、数分で終わる一般的な調査に参加することで報酬を受け取ることができると謳っていました。

起動されると、 Android.FakeApp.110は詐欺サイトをダウンロードします。ユーザーはそこで、いくつかの簡単な質問（例えば、好きな香水や乗っている車のブランドなど）に答えることで、スポンサーから多額の報酬を貰えるということになっています。

このような質問に回答した後、ユーザーは数万または数十万ルーブルもの報酬が支払われると告げられます。同時にユーザーは、決済システムの限度があるために支払いの一部は特定の期間に行われると告げられ、今すぐ受け取るにはユーザーを特定するためのIDとして100～200ルーブルを支払うよう指示されます。こうして詐欺行為が成立します。報酬を受け取ることを期待してユーザーは自らインターネット詐欺師にお金を払いますが、その後何も受け取ることはありません。Doctor Webはこの悪意のあるアプリケーションについてGoogle社に報告を行い、現在このアプリケーションはダウンロードすることができなくなっています。

モバイルデバイスのユーザーから金銭を引き出し、また、その他の利益を得るために、犯罪者は様々な策略を用い、常に新たな詐欺手法を編み出し続けています。アプリケーションをインストールする際は、たとえGoogle Playからであっても、慎重になるよう心がけてください。開発者の名前、プログラムの公開日のほか、他のユーザーのレビューに注意を払う必要があります。これらの簡単な対策でモバイルデバイスが感染するリスクを減らすことができます。さらに、Androidデバイスを保護するため、既知の悪意のあるアプリケーションや望まないアプリケーションすべてを検出・削除するAndroid向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。

Android.Click.265.originの詳細(英語)

Android.Click.248.originの詳細(英語)

Android.FakeApp.110の詳細(英語)

#Android #fraud #Google_Play #Trojan