マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話

お問い合わせ履歴

電話(英語)

+7 (495) 789-45-86

Profile

2023年10月のモバイルマルウェアレビュー

2023年11月24日

株式会社Doctor Web Pacific


Android向け Dr.Web製品によって収集された検出統計によると、2023年10月には Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が最も多く検出された脅威となりました。その検出数は9月と比較して46.16%増加しています。2番目に多く検出されたアドウェア型トロイの木馬は Android.MobiDash ファミリーで、検出数は7.07%の増加となりました。また、スパイウェア型トロイの木馬とバンキング型トロイの木馬の検出数もそれぞれ18.27%と10.73%増加しています。

10月にもGoogle Playでは新たな脅威が発見され、それらの中には詐欺目的で使用される Android.FakeApp ファミリーに属する数十もの偽アプリが含まれていました。そのほか、Androidデバイスをプロキシサーバーに変えるトロイの木馬 Android.Proxy.4gproxy も発見されています。

10月の主な傾向

  • アドウェア型トロイの木馬の活動が増加
  • スパイウェア型トロイの木馬とバンキング型トロイの木馬の活動が増加
  • Google Playに新たな悪意のあるアプリが多数出現

Dr.Web for Androidによる統計

Android.HiddenAds.3831
Android.HiddenAds.3697
迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.Spy.4498
Android.Spy.5106
WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Android.MobiDash.7804
迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Program.CloudInject.1
クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
Program.FakeAntiVirus.1
アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.FakeMoney.7
動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても、実際にお金を手にすることはできません。
Program.wSpy.3.origin
Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。
Program.SecretVideoRecorder.1.origin
Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。
Tool.LuckyPatcher.1.origin
その動作ロジックを変更したり特定の制限を回避したりする目的で、Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。たとえば、ユーザーはこのツールを適用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin
アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.WAppBomber.1.origin
WhatsAppオンラインメッセンジャーで大量メッセージを送信するためのAndroidユーティリティです。動作するために、ユーザーの電話帳に登録されている連絡先リストへのアクセスを要求します。
Adware.ShareInstall.1.origin
Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告通知を表示します。
Adware.MagicPush.1
Androidアプリに組み込まれるアドウェアモジュールです。ホストアプリが使用されていないときに、OSのユーザーインターフェース上に重ねてポップアップバナーを表示させます。バナーには多くの場合、不審なファイルが発見されたことを知らせたり、スパムをブロックしたりデバイスの電力消費を最適化したりするよう勧めたりする、ユーザーを騙すような内容が表示され、そのためにアドウェアモジュールを含んだアプリを開くようユーザーに要求します。ユーザーがアプリを開くと広告が表示されます。
Adware.AdPush.39.origin
Adware.AdPush.36.origin
Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Airpush.7.origin
Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。

Google Play上の脅威

2023年10月、Doctor WebのウイルスアナリストはGoogle Play上で50を超える悪意のあるアプリを発見しました。それらの中には感染させたデバイスをプロキシサーバーに変え、密かに第三者のトラフィックを経由させるトロイの木馬 Android.Proxy.4gproxy.1Android.Proxy.4gproxy.2Android.Proxy.4gproxy.3Android.Proxy.4gproxy.4 が含まれていました。 Android.Proxy.4gproxy.1 のさまざまな亜種はゲーム「Photo Puzzle」や不眠改善アプリ「Sleepify」、チャットボットツール「Rizzo The AI chatbot」を装って拡散されていました。 Android.Proxy.4gproxy.2 は天気予報アプリ「Premium Weather Pro」、 Android.Proxy.4gproxy.3 はメモ帳アプリ「Turbo Notes」、 Android.Proxy.4gproxy.4 はニューラルネットワークを使用して画像を生成するアプリ「Draw E」に潜んでいました。

これらのアプリには4gproxyと呼ばれる特殊なユーティリティ(Dr.Webによって Tool.4gproxy として検出)が組み込まれています。このツールはAndroidデバイスをプロキシサーバーとして使用することを可能にするもので、それ自体は悪意のあるものではなく正規の目的で使用される場合もあります。ただし、今回発見されたトロイの木馬では、ユーザーの関与や明示的な同意なしにプロキシサーバーの機能が実行されています。

Android.FakeApp ファミリーに属するトロイの木馬アプリも新たに数十発見されています。それらの一部( Android.FakeApp.1459Android.FakeApp.1460Android.FakeApp.1461Android.FakeApp.1462Android.FakeApp.1472Android.FakeApp.1474Android.FakeApp.1485 など)は引き続き金融関連アプリを装って拡散されていました。これらアプリの主な機能は、ユーザーに投資を勧める詐欺サイトを開くというものです。ユーザーは個人情報を提供するよう求められ、収益性の高い金融プロジェクトや金融商品に投資をするよう勧められます。

これまで同様、また別の一部( Android.FakeApp.1433Android.FakeApp.1444Android.FakeApp.1450Android.FakeApp.1451Android.FakeApp.1455Android.FakeApp.1457Android.FakeApp.1476 など)はゲームを装って拡散されています。これらのアプリは特定の条件下で、ゲームを起動する代わりにオンラインカジノやブックメーカーのサイトを開きます。

以下の画像は、そのようなアプリがゲームとして動作している例です。

次の画像は、それらのアプリが開くオンラインカジノとブックメーカーサイトの例です。

スポーツ関連のニュースや記事にアクセスするためのアプリに潜んでいたトロイの木馬 Android.FakeApp.1478 も同様の機能を持っており、ブックメーカーサイトを開く場合があります。

そのほか、求人検索アプリを装ったトロイの木馬アプリも新たなものが発見されています。そのうちの一つは「Rixx」( Android.FakeApp.1468 )で、もう一つは「Catalogue」( Android.FakeApp.1471 )です。起動されると、これら悪意のあるアプリは偽の求人情報を表示させます。応募しようとしたユーザーは、フォームに個人情報を入力するよう求められたり、WhatsAppやTelegramなどのインスタントメッセンジャーを使用して「雇用主」に連絡するよう指示されたりします。

以下の画像は、それら悪意のあるアプリがどのように動作するかを示したものです。履歴書作成画面を装ったフィッシングフォームが表示されている例と、メッセンジャー経由で「雇用主」に連絡するよう指示するテキストが表示されている例です。

お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向け Dr.Webアンチウイルス製品をインストールすることをお勧めします。

Indicators of compromise(侵害の痕跡)※英語

Dr.Web Mobile Security

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

  • Android向けロシア初のアンチウイルス
  • Google Playからのダウンロード数が、1.4億件を突破しました
  • 個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード