2023年3月8日
株式会社Doctor Web Pacific
バンキング型トロイの木馬と暗号化ランサムウェアの活動も前月と比較して増加し、それぞれ2.63%増、20.71%増となっています。一方、スパイウェアの活動にはわずかな減少がみられました。
Google Playでは、Doctor Webのウイルスラボによって新たな脅威が多数発見されています。それらの中には、偽アプリや、ユーザーを有料サービスに登録するトロイの木馬が含まれていました。
1月の主な傾向
- アドウェア型トロイの木馬の活動が増加
- バンキング型トロイの木馬とランサムウェアの活動が増加
- スパイウェアの活動が減少
- Google Playに新たな脅威が出現
Dr.Web for Androidによる統計
- Android.HiddenAds.3558
- 迷惑な広告を表示させるよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
- Android.Spy.5106
- Android.Spy.4498
- メッセンジャーWhatsAppの非公式Mod(改造版)であるトロイの木馬の、さまざまな亜種の検出名です。通知の内容を盗み、ユーザーに未知のソースからの別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、リモートでカスタマイズ可能な内容を含んだダイアログボックスを表示することもできます。
- Android.Packed.57083
- ApkProtectorパッカーによって保護された悪意のあるアプリの検出名です。バンキング型トロイの木馬やスパイウェア型トロイの木馬などの脅威が含まれます。
- Android.MobiDash.7360
- 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
- Program.FakeMoney.7
- Program.FakeMoney.3
- Program.FakeMoney.8
- 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても、実際にお金を手にすることはできません。
- Program.FakeAntiVirus.1
- アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、完全版を購入するために料金を支払うよう要求する場合があります。
- Program.SecretVideoRecorder.1.origin
- Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にしたり、アプリのアイコンと表示名を偽のものに置き換えたりすることができ、密かに動作することが可能です。これらの機能により、潜在的に危険なソフトウェアと見なされます。
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.17.origin
- Tool.SilentInstaller.6.origin
- Tool.SilentInstaller.7.origin
- アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。メインのOSに影響を及ぼさない仮想ランタイム環境を作成します。
- Tool.ApkProtector.16.origin
- ApkProtectorソフトウェアパッカーによって保護されたAndroidアプリの検出名です。このパッカー自体は悪意のあるものではありませんが、マルウェアや望ましくないアプリケーションをアンチウイルスソフトウェアによって検出されにくくする目的で、サイバー犯罪者によって使用される可能性があります。
- Adware.Fictus.1.origin
- 特殊なnet2share パッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示させます。
- Adware.SspSdk.1.origin
- Androidアプリに組み込まれる特殊な広告モジュールです。ホストアプリケーションが使用されておらず、そのウィンドウが閉じているときを狙って広告を表示させます。そうすることで、ユーザーが迷惑な広告の原因を特定することを困難にします。
- Adware.AdPush.36.origin
- Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールプロセスを開始することができます。
- Adware.Airpush.7.origin
- Androidアプリに組み込まれ、さまざまな広告を表示させるアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
- Adware.Hero.1.origin
- プッシュ通知やバナーとして迷惑な広告を表示させる広告アプリのコンポーネントの一つです。必要なシステム権限を取得した場合は、他のアプリをインストールしたりアンインストールしたりすることもできます。
Google Play上の脅威
2023年1月、Doctor WebのウイルスラボはGoogle Playで新たな脅威を多数発見しました。それら脅威の中には Android.Joker ファミリーと Android.Harly ファミリーに属するマルチコンポーネントトロイの木馬が含まれていました。この二つのトロイの木馬ファミリーは似通った機能を持っており、ユーザーを有料サービスに登録させます。 Android.Joker はインターネットから追加のモジュールをダウンロードしますが、 Android.Harly は多くの場合すでにファイルリソース内に暗号化されたモジュールを持っています。 Android.Joker トロイの木馬の一つである Android.Joker.1991 は「Phone Number Tracker」と呼ばれるアプリを装って拡散されていました。このアプリは、携帯電話番号に関する情報を使用して別のユーザーの位置を追跡することができるというものです。また別のAndroid.Joker.1998はシステム最適化ツール「Phone Cleaner Lite」に潜み、 Android.Joker.1999 と Android.Joker.2008 はそれぞれSMSメッセンジャー「Funny Messenger」と「Mind Message」を装って拡散されていたほか、画像編集アプリ「Easy Photo Collage」には Android.Joker.2000 が潜んでいました。
一方、 Android.Harly.13 と Android.Harly.25 はそれぞれ動画編集アプリ「Honey Video & Photo Maker」と代替ランチャー「Joy Live Wallpaper & Launcher」に潜んでいました。
発見されたまた別の脅威は、パキスタンのユーザーが別のサブスクライバーに関する情報を見つけることができるとうたうアプリ「Sim Analyst」です。実際には、このアプリを装ってRATツールをベースにしたスパイウェアAhMyth Android Ratが拡散されていました。このスパイウェアは Android.Spy.1092.origin としてDr.Webのウイルスデータベースに追加されています。
スパイウェアツールAhMyth Android Ratは基本的機能として、デバイスの位置を追跡する、内蔵カメラを使用して写真を撮る、マイクを使用して周囲の音声を録音する、SMSを傍受する、電話帳に保存されている連絡先や通話に関する情報を取得するなど、多彩な機能を備えています。しかし一方で、Google Playから配信されるアプリは機密性にかかわる一部の機能へのアクセスが制限されており、それはこのスパイウェアも同様です。そのため、今回発見されたこのAhMyth Android Ratは、デバイスの位置を追跡する、通知の内容をハイジャックする、写真や動画などのメディアファイルを盗む、メッセンジャー経由でやり取りされてデバイスに保存されたファイルを盗むといった限られた機能しか持っていません。
そのほか、多様な詐欺スキームに利用される Android.FakeApp マルウェアファミリーに属する20を超える偽アプリも発見されています。これらはさまざまなアプリを装って拡散され、リモートサーバーから受け取ったコマンドに従ってフィッシングサイトを含むあらゆるWebサイトを開きます。
以下の画像はゲームを装って拡散されていた Android.FakeApp の例です。
これらトロイの木馬は、ある特定の条件下で(ユーザーが広告内の特定のリンクをクリックしてインストールした場合など)、うたわれたアプリの機能を実行するのではなくオンラインカジノのサイトを表示させます。
以下の画像はそのような動作の例です。ゲームが表示されているものもあれば、オンラインカジノのサイトが表示されているものもあります。
また別の偽アプリは金融系アプリや自己啓発ツールを装って拡散されていました。これらのアプリを使用することでユーザーは支出を追跡して家計簿をつけたり、さまざまなアンケートやクイズに参加したり、学んだりトレーニングを受けて金融リテラシーを高めたり、投資を開始したり、無償の株式を受け取ったりできるとされています。しかし実際には、これらアプリの最大の目的は詐欺サイトを開くことです。
以下の画像はそのようなサイトの例です。ユーザーを騙すような紛らわしい内容が表示されるか、または事前アンケートに回答するよう求められます。次に、ユーザーは個人情報を提供してアカウントに登録するよう促され、その後は「スペシャリスト」からの電話連絡を待つよう指示されたり、「有利なオファー」を待つよう指示されたりします。
お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向け Dr.Web製品をインストールすることをお勧めします。
Indicators of compromise(侵害の痕跡情報)※英語
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます