2023年9月19日
株式会社Doctor Web Pacific
Google Playでは新たな脅威が発見され、それらの中にはユーザーを有料サービスに登録する悪意のあるアプリケーションや、Androidユーザーから仮想通貨を盗む目的で使用されるトロイの木馬の潜んだアプリが含まれていました。
7月の主な傾向
- アドウェア型トロイの木馬 Android.HiddenAds の活動が増加
- アドウェア型トロイの木馬 Android.MobiDash の活動が減少
- バンキング型トロイの木馬とランサムウェアの活動が増加
- Google Playで新たな脅威を発見
Dr.Web for Androidによる統計
- Android.HiddenAds.3697
- 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
- Android.Spy.5106
- WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
- Android.Packed.57083
- ApkProtectorパッカーによって保護された悪意のあるアプリの検出名です。バンキング型トロイの木馬やスパイウェアなどの脅威が含まれます。
- Android.Pandora.7
- Android.Pandora.5
- バックドア型トロイの木馬 Android.Pandora.2 をダウンロードしてインストールする悪意のあるプログラムの検出名です。多くの場合、スペイン語圏のユーザーを対象にしたスマートTVアプリに組み込まれています。
- Program.FakeMoney.7
- Program.FakeMoney.8
- 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても、実際にお金を手にすることはできません。
- Program.FakeAntiVirus.1
- アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
- Program.SecretVideoRecorder.1.origin
- Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。
- Program.SnoopPhone.1.origin
- Androidユーザーのアクティビティを監視するよう設計されたアプリケーションです。このアプリを使用することで、第三者がSMSを読む、通話に関する情報を収集する、デバイスの位置を追跡する、周囲の音声を録音することが可能になります。
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.6.origin
- アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。メインのOSに影響を及ぼさない仮想ランタイム環境を作成します。
- Tool.LuckyPatcher.1.origin
- その動作ロジックを変更したり特定の制限を回避したりする目的で、Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。たとえば、ユーザーはこのツールを適用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
- Tool.ApkProtector.16.origin
- ApkProtectorソフトウェアパッカーによって保護されたAndroidアプリの検出名です。このパッカー自体は悪意のあるものではありませんが、マルウェアや望ましくないアプリケーションをアンチウイルスソフトウェアによって検出されにくくする目的で、サイバー犯罪者によって使用される可能性があります。
- Tool.Packer.3.origin
- NP Managerツールを使用してコードが暗号化および難読化されているAndroidプログラムの検出名です。
- Adware.Fictus.1.origin
- net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。
- Adware.ShareInstall.1.origin
- Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告通知を表示します。
- Adware.Airpush.7.origin
- Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
- Adware.MagicPush.3
- Androidアプリに組み込まれるアドウェアモジュールです。ホストアプリが使用されていないときに、OSのユーザーインターフェース上に重ねてポップアップバナーを表示させます。バナーには多くの場合、不審なファイルが発見されたことを知らせたり、スパムをブロックしたりデバイスの電力消費を最適化したりするよう勧めたりする、ユーザーを騙すような内容が表示され、そのためにアドウェアモジュールを含んだアプリを開くようユーザーに要求します。ユーザーがアプリを開くと広告が表示されます。
- Adware.AdPush.39.origin
- Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールプロセスを開始することができます。
Google Play上の脅威
2023年7月、Doctor Webのウイルスラボは仮想通貨を盗むよう設計されたトロイの木馬 Android.CoinSteal.105 をGoogle Play上で発見しました。このトロイの木馬はP2B仮想通貨取引所の公式アプリケーション「P2B official」を装って配信されており、名前も本物と似通った「P2B Trade: Realize The P2Pb2b」となっています。
以下の画像は左がGoogle Play上の正規アプリで、右が偽アプリです。
この偽アプリは仮想通貨ブロガーによって宣伝され、その結果インストール数は本物の2倍になっています。
起動されると、このトロイの木馬は攻撃者の指定したTDS(Traffic Delivery System:トラフィック配信システム)サイトをWebViewで開きます。続けて、このサイトから別のサイトへと連続でリダイレクトが実行されます。現時点では、最終的にP2B仮想通貨取引所の公式サイト(https://p2pb2b.com)が開かれるようになっていますが、詐欺サイトや広告を含むサイトなどの他のサイトが開かれる可能性も否定できません。
仮想通貨取引所のサイトが開かれると、 Android.CoinSteal.105 によってそこにJavaScriptスクリプトが挿入されます。Android.CoinSteal.105はこのスクリプトを使用して、ユーザーが仮想通貨を引き出すために入力する仮想通貨ウォレットのアドレスを置き換えます。
ユーザーを有料サービスに登録する悪意のあるアプリケーションも引き続きGoogle Playから拡散されています。そのうちの一つであるトロイの木馬 Android.Harly.80 は、インタラクティブなバーチャルペットアプリ「Desktop Pets – Lulu」に潜んでいました。
同じくユーザーを有料サービスに登録する Android.Joker ファミリーに属する新たなトロイの木馬も発見され、 Android.Joker.2170、 Android.Joker.2171、 Android.Joker.2176 としてDr.Webウイルスデータベースに追加されました。Android.Joker.2170はバッテリー充電に関する情報をロック画面に表示するアプリ「Cool Charging Animation」、Android.Joker.2171はユーザーが自分の活動を記録して良い習慣や悪い習慣を追跡できるアプリ「Smart Counter」、Android.Joker.2176はAndroidデバイスのホーム画面の背景を変更するための壁紙画像集アプリ「4K HD Wallpaper」に潜んで拡散されていました。
お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向け Dr.Webアンチウイルス製品をインストールすることをお勧めします。
Indicators of compromise(侵害の痕跡)※英語
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます