2025年第3四半期のモバイルマルウェアレビュー

Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）によって収集された検出統計によると、2025年第3四半期に最も多く検出された脅威は広告を表示させるトロイの木馬 Android.MobiDash となりました。その検出数は前四半期比で18.19%増加しています。

2番目に多く検出されたのは、2四半期連続で活動の減少が続いているアドウェア型トロイの木馬 Android.HiddenAds でした。第3四半期の検出数は71.85%の減少となっています。このトロイの木馬は検出と削除を困難にするために自身のアイコンを隠し、広告を表示させます。表示される広告の種類には全画面モードでの動画も含まれています。

サイバー犯罪者によってさまざまな詐欺スキームに用いられるトロイの木馬 Android.FakeApp が前四半期に引き続き3位となりました。その検出数は7.49%減少しています。多くの場合、これら悪意のあるアプリはうたわれた機能を実行する代わりに詐欺サイトや悪意のあるサイト、ブックメーカーやオンラインカジノのサイトなどさまざまなWebサイトを開きます。

バンキング型トロイの木馬では、その活動に38.88%の減少がみられたものの依然として Android.Banker トロイの木馬が最も多く検出されています。Android.Banker は銀行口座に不正アクセスして金銭を盗み取る目的で脅威アクターによって使用されています。このファミリーに属するトロイの木馬はフィッシング画面を表示させてログインIDとパスワードを窃取する、正規銀行アプリの外観を模倣する、SMSを傍受してワンタイムコードを盗むなどといった機能を備えています。

続いて、前四半期比18.91%増となった Android.BankBot トロイの木馬が2位につけました。このトロイの木馬も認証コードを傍受することでユーザーのインターネットバンキングアカウントにアクセスしようとします。そのほか、サイバー犯罪者から受け取るさまざまなコマンドを実行することもでき、それらの中には感染したデバイスの遠隔操作を可能にするものもあります。

3位となったのは Android.SpyMax トロイの木馬で、その検出数は前四半期比で17.25%減少しています。Android.SpyMax はスパイウェア型トロイの木馬SpyNoteのソースコードを基に作成されており、感染したデバイスの遠隔操作を含む広範な機能を備えています。

8月、Doctor Webは多機能バックドア Android.Backdoor.916.origin を拡散する攻撃キャンペーンについて記事を公表しました。このマルウェアはAndroidユーザーをスパイし、機密情報を窃取する目的で使用されていました。脅威アクターはメッセンジャーを利用して被害者にメッセージを送信し、添付のAPKファイルから「アンチウイルス」（に偽装したバックドア）をインストールするよう誘導しています。Doctor Webのアンチウイルスラボではこのバックドアの最初の亜種を2025年1月に発見し、それ以来その進化を追い続けてきました。Android.Backdoor.916.origin はAndroidユーザー間での大量拡散を狙ったものではなく、標的型攻撃を目的に設計されたものであると考えられます。その主たる標的はロシア企業の従業員です。

Google Playでは第3四半期を通して多くの悪意のあるプログラムが拡散され、それらは合計で145万9000件以上インストールされていました。その中にはユーザーを有料サービスに登録する数十もの Android.Joker トロイの木馬や悪意のある偽アプリ Android.FakeApp が含まれています。そのほか、仮想報酬を現金化できるとうたうアプリの新たなものも発見されました。

Dr.Web Security Space for mobile devicesによる統計

Android.MobiDash.7859

迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

Android.FakeApp.1600

設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。

Android.Click.1812

さまざまなWebサイトをバックグラウンドで密かに読み込むことができる、悪意のあるWhatsAppメッセンジャーMod（改造版）の検出名です。

Android.HiddenAds.673.origin

迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。

Android.Triada.5847

Android.Triada トロイの木馬を検出や解析から保護するよう設計されたパッカーの検出名です。多くの場合、これらトロイの木馬が埋め込まれた悪意のあるTelegramメッセンジャーMod（改造版）と一緒に用いられます。

Program.FakeMoney.11

さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために（多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます）、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。

Program.CloudInject.5

Program.CloudInject.1

クラウドサービスCloudInjectと、同名のAndroidユーティリティ（Tool.CloudInjectとしてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。

Program.FakeAntiVirus.1

アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。

Program.TrackView.1.origin

Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Tool.NPMod.3

Tool.NPMod.1

Tool.NPMod.4

NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。

Tool.LuckyPatcher.2.origin

Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。

Tool.Androlua.1.origin

スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。

Adware.AdPush.3.origin

Adware.Adpush.21846

Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知（オペレーティングシステムからの通知に似せたものなど）を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。

Adware.ModAd.1

その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。

Adware.Youmi.4

Androidデバイスのホーム画面に広告ショートカットを追加する、望ましくないアドウェアモジュールの検出名です。

Adware.Basement.1

迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。

Google Play上の脅威

2025年第3四半期、Doctor Webのアンチウイルスラボは50を超える Android.Joker トロイの木馬を検出しました。これはユーザーを有料サービスに登録するトロイの木馬ファミリーです。新たに発見された亜種はメッセンジャーや各種システムツール、画像編集アプリ、カメラアプリ、ドキュメント管理アプリなどのさまざまなアプリを装って拡散されていました。

Android.Joker.2412 が潜んだシステム最適化アプリ「Clean Boost」と、Android.Joker.2422 が隠されていたPDFドキュメント作成アプリ「Convert Text to PDF」

詐欺スキームに用いられる Android.FakeApp ファミリーに属する偽アプリも引き続き発見されています。これまで同様、その一部は参考書や教材、投資サービスにアクセスするためのソフトウェアなどといった金融関連アプリに偽装していました。また別の一部はゲームを装って拡散されています。このタイプの Android.FakeApp は特定の条件下でゲームとして機能する代わりにオンラインカジノやブックメーカーのサイトを開く場合があります。

金融アプリを装った Android.FakeApp トロイの木馬の例：金融リテラシーをテストするアプリに偽装した Android.FakeApp.1889 と、金融知識を向上させるアプリに偽装した Android.FakeApp.1890

そのほか、望ましくないアプリ Program.FakeMoney.16 も発見されました。Program.FakeMoney.16 は「Zeus Jackpot Mania」というアプリを装って拡散されており、このアプリでユーザーは仮想報酬を獲得し、現金化して引き出すことができるとうたっています。

Google Playで発見された Program.FakeMoney.16

現金を「引き出す」ためにユーザーはいくつか情報を提供するよう要求されます。最終的に被害者がお金を受け取ることはありません。

ユーザーに氏名と銀行口座情報を提供するよう求める Program.FakeMoney.16

お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向け Dr.Webアンチウイルス製品をインストールすることをお勧めします。