2024年第3四半期のモバイルマルウェアレビュー

モバイルデバイス向けDr.Web Security Spaceによって収集された検出統計によると、2024年第3四半期にデバイス上で最も多く検出された脅威は、脅威アクターによってさまざまな詐欺スキームに用いられる悪意のあるアプリ Android.FakeApp でした。次いで、 Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が2番目に多く検出された脅威となりました。3 番目に多く検出されたのはトロイの木馬 Android.Siggen です。この Android.Siggen は、多様な悪意のある機能を備えているため特定のファミリーに分類することの難しいプログラムです。

8月には197か国で130万台近くのAndroid TVボックスセットを感染させていたバックドア Android.Vo1d がDoctor Webのエキスパートによって発見されました。このバックドアは自身のコンポーネントを感染したデバイスのシステムストレージ領域に置き、脅威アクターのコマンドに応じてさまざまなプログラムを密かにダウンロードしてインストールすることができます。

また、インドネシアのユーザーを標的としたバンキング型トロイの木馬も発見されました。そのうちの1つは、インドネシアの大手銀行であるBRIのカスタマーサポートアプリ「BRImo Support」を装って拡散されていた Android.SmsSpy.888.origin です。このトロイの木馬はソフトウェアパッカーによって保護されており、 Android.Siggen.Susp.9415 として検出されていました。

起動されると、このトロイの木馬は本物の銀行のサイト（https://bri.co.id）をWebViewで開きます。同時に、Telegram Bot APIを使用して、脅威アクターが作成したTelegramチャット内に感染したデバイスに関する技術的情報を送信します。

Android.SmsSpy.888.origin は受信するSMSを傍受し、それらもチャット内に送信します。 55555, <number>, <text> のようなメッセージを受信した場合はコマンドであると解釈し、テキスト <text> を含んだメッセージを番号 <number> に送信します。こうすることで、スパムSMSを送信して拡散させることができます。

インドネシアのユーザーを襲ったもう1つのトロイの木馬は Android.SmsSpy.11629 です。この Android.SmsSpy.11629 もSMSを傍受するトロイの木馬で、あらゆる種類のアプリを装って拡散されています。この度発見された亜種は、インドネシアの大手銀行であるマンディリ銀行（Bank Mandiri Taspen）の利用者を標的として、同銀行の公式アプリ「Movin by Bank Mandiri Taspen」に偽装していました。このトロイの木馬は使用許諾契約に同意するよう求めるメッセージを表示させ、ユーザーが同意すると、次はSMSを使用する権限を要求します。

続いて、本物の銀行のサイト（https://mail.bankmantap.co.id/）をWebViewで開きます。

Android.SmsSpy.11629 は受信するSMSをすべて傍受します。その後、すべてのメッセージにテキスト developed by : @AbyssalArmy を追加したうえで、Telegram Bot APIを使用して攻撃者のTelegramチャット内にそれらを送信します。

Google Payでも引き続き脅威が発見されています。それらの中には新たな偽アプリが多数と、広告を表示するトロイの木馬が複数含まれていました。

モバイルデバイス向けDr.Web Security Spaceによる統計

Android.FakeApp.1600

設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。

Android.HiddenAds.3994

迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。

Android.MobiDash.7815

Android.MobiDash.7813

迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

Android.Click.1751

サードパーティによるWhatsAppメッセンジャーのMod（改造版）に組み込まれ、Googleのライブラリクラスに偽装したトロイの木馬です。ホストアプリケーションが使用されている間にC&Cサーバーの1つに接続し、そこから2つのURLを受け取ります。1つはロシア語圏のユーザーを対象としたもので、もう1つはそれ以外のユーザーを対象としています。次に、同じくリモートサーバーから受け取った内容のダイアログボックスを表示させ、ユーザーが確認ボタンをクリックすると該当するリンクをブラウザで開きます。

Program.FakeMoney.11

動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。

Program.CloudInject.1

クラウドサービスCloudInjectと、同名のAndroidユーティリティ（ Tool.CloudInject としてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。

Program.FakeAntiVirus.1

アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。

Program.SecretVideoRecorder.1.origin

Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Program.TrackView.1.origin

Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Tool.Packer.1.origin

Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。

Tool.SilentInstaller.17.origin

アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。

Tool.NPMod.1

Tool.NPMod.2

NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。

Tool.LuckyPatcher.1.origin

Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。

Adware.ModAd.1

その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。

Adware.Basement.1

迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには Program.FakeMoney.11 と同じコードベースが使用されています。

Adware.Fictus.1.origin

net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。

Adware.Adpush.21846

Adware.AdPush.39.origin

Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。

Google Play上の脅威

2024年第3四半期も、Doctor Webのマルウェアアナリストによって引き続きGoogle Play上で脅威が発見されています。それらの中には、さまざまなアプリを装って拡散されている Android.FakeApp ファミリーの新たな偽アプリが含まれていました。その一部は投資アプリや金融学習用の教材、家計簿ツールなどの金融関連アプリに偽装しており、多くが実際にうたわれた機能を実行していましたが、メインとなるタスクは詐欺サイトを開くことです。そのような詐欺サイトは投資や天然資源の取引、仮想通貨を通じて素早く簡単に利益を得ることができるとうたい、「サービス」にアクセスするためにアカウントに登録するか、または「申請フォーム」に個人情報を入力するようユーザーに要求します。

Android.FakeApp ファミリーに属するまた別のトロイの木馬の1つは、出会い系チャットアプリを装っていながら偽の「投資」サイトを開くという目新しいものでした。

これまで同様、ゲームを装って拡散されていた Android.FakeApp トロイの木馬も発見されています。これらトロイの木馬は一定の条件下でオンラインカジノやブックメーカーのサイトを開きます。

そのほか、求人検索アプリを装う Android.FakeApp の亜種も新たなものが検出されました。これらトロイの木馬は偽の求人情報を表示し、メッセンジャーを使用して雇用主（実際は詐欺師）に連絡するか、または個人情報を記入した「履歴書」を送信するようユーザーに指示します。

また、 Android.HiddenAds ファミリーに属する新たなトロイの木馬もGoogle Playで発見されています。これらトロイの木馬はホーム画面のメニューから自身のアイコンを隠し、煩わしい広告を表示させます。この度検出されたトロイの木馬は、画像集や写真編集アプリ、バーコードスキャナなどのアプリに偽装していました。

お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向けDr.Webアンチウイルス製品をインストールすることをお勧めします。

Indicators of compromise(侵害の痕跡)※英語