10月にもGoogle Playでは新たな脅威が発見され、それらの中には詐欺目的で使用される Android.FakeApp ファミリーに属する数十もの偽アプリが含まれていました。そのほか、Androidデバイスをプロキシサーバーに変えるトロイの木馬 Android.Proxy.4gproxy も発見されています。
10月の主な傾向
- アドウェア型トロイの木馬の活動が増加
- スパイウェア型トロイの木馬とバンキング型トロイの木馬の活動が増加
- Google Playに新たな悪意のあるアプリが多数出現
2023年11月24日
株式会社Doctor Web Pacific
Dr.Web for Androidによる統計
- Android.HiddenAds.3831
- Android.HiddenAds.3697
- 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
- Android.Spy.4498
- Android.Spy.5106
- WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
- Android.MobiDash.7804
- 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
- Program.CloudInject.1
- クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
- Program.FakeAntiVirus.1
- アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
- Program.FakeMoney.7
- 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても、実際にお金を手にすることはできません。
- Program.wSpy.3.origin
- Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。
- Program.SecretVideoRecorder.1.origin
- Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。
- Tool.LuckyPatcher.1.origin
- その動作ロジックを変更したり特定の制限を回避したりする目的で、Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。たとえば、ユーザーはこのツールを適用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.7.origin
- Tool.SilentInstaller.6.origin
- アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
- Tool.WAppBomber.1.origin
- WhatsAppオンラインメッセンジャーで大量メッセージを送信するためのAndroidユーティリティです。動作するために、ユーザーの電話帳に登録されている連絡先リストへのアクセスを要求します。
- Adware.ShareInstall.1.origin
- Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告通知を表示します。
- Adware.MagicPush.1
- Androidアプリに組み込まれるアドウェアモジュールです。ホストアプリが使用されていないときに、OSのユーザーインターフェース上に重ねてポップアップバナーを表示させます。バナーには多くの場合、不審なファイルが発見されたことを知らせたり、スパムをブロックしたりデバイスの電力消費を最適化したりするよう勧めたりする、ユーザーを騙すような内容が表示され、そのためにアドウェアモジュールを含んだアプリを開くようユーザーに要求します。ユーザーがアプリを開くと広告が表示されます。
- Adware.AdPush.39.origin
- Adware.AdPush.36.origin
- Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
- Adware.Airpush.7.origin
- Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
Google Play上の脅威
2023年10月、Doctor WebのウイルスアナリストはGoogle Play上で50を超える悪意のあるアプリを発見しました。それらの中には感染させたデバイスをプロキシサーバーに変え、密かに第三者のトラフィックを経由させるトロイの木馬 Android.Proxy.4gproxy.1、 Android.Proxy.4gproxy.2、 Android.Proxy.4gproxy.3、 Android.Proxy.4gproxy.4 が含まれていました。 Android.Proxy.4gproxy.1 のさまざまな亜種はゲーム「Photo Puzzle」や不眠改善アプリ「Sleepify」、チャットボットツール「Rizzo The AI chatbot」を装って拡散されていました。 Android.Proxy.4gproxy.2 は天気予報アプリ「Premium Weather Pro」、 Android.Proxy.4gproxy.3 はメモ帳アプリ「Turbo Notes」、 Android.Proxy.4gproxy.4 はニューラルネットワークを使用して画像を生成するアプリ「Draw E」に潜んでいました。
これらのアプリには4gproxyと呼ばれる特殊なユーティリティ(Dr.Webによって Tool.4gproxy として検出)が組み込まれています。このツールはAndroidデバイスをプロキシサーバーとして使用することを可能にするもので、それ自体は悪意のあるものではなく正規の目的で使用される場合もあります。ただし、今回発見されたトロイの木馬では、ユーザーの関与や明示的な同意なしにプロキシサーバーの機能が実行されています。
Android.FakeApp ファミリーに属するトロイの木馬アプリも新たに数十発見されています。それらの一部( Android.FakeApp.1459、 Android.FakeApp.1460、 Android.FakeApp.1461、 Android.FakeApp.1462、 Android.FakeApp.1472、 Android.FakeApp.1474、 Android.FakeApp.1485 など)は引き続き金融関連アプリを装って拡散されていました。これらアプリの主な機能は、ユーザーに投資を勧める詐欺サイトを開くというものです。ユーザーは個人情報を提供するよう求められ、収益性の高い金融プロジェクトや金融商品に投資をするよう勧められます。
これまで同様、また別の一部( Android.FakeApp.1433、 Android.FakeApp.1444、 Android.FakeApp.1450、 Android.FakeApp.1451、 Android.FakeApp.1455、 Android.FakeApp.1457、 Android.FakeApp.1476 など)はゲームを装って拡散されています。これらのアプリは特定の条件下で、ゲームを起動する代わりにオンラインカジノやブックメーカーのサイトを開きます。
以下の画像は、そのようなアプリがゲームとして動作している例です。
次の画像は、それらのアプリが開くオンラインカジノとブックメーカーサイトの例です。
スポーツ関連のニュースや記事にアクセスするためのアプリに潜んでいたトロイの木馬 Android.FakeApp.1478 も同様の機能を持っており、ブックメーカーサイトを開く場合があります。
そのほか、求人検索アプリを装ったトロイの木馬アプリも新たなものが発見されています。そのうちの一つは「Rixx」( Android.FakeApp.1468 )で、もう一つは「Catalogue」( Android.FakeApp.1471 )です。起動されると、これら悪意のあるアプリは偽の求人情報を表示させます。応募しようとしたユーザーは、フォームに個人情報を入力するよう求められたり、WhatsAppやTelegramなどのインスタントメッセンジャーを使用して「雇用主」に連絡するよう指示されたりします。
以下の画像は、それら悪意のあるアプリがどのように動作するかを示したものです。履歴書作成画面を装ったフィッシングフォームが表示されている例と、メッセンジャー経由で「雇用主」に連絡するよう指示するテキストが表示されている例です。
お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向け Dr.Webアンチウイルス製品をインストールすることをお勧めします。
Indicators of compromise(侵害の痕跡)※英語
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます