11月にGoogle Playで検出された脅威には、トロイの木馬 Android.Mixi.44.origin が含まれていました。このトロイの木馬はさまざまなWebサイトを開いて他のアプリのウィンドウ前面に表示し、密かにリンクをたどり、ユーザーによるソフトウェアのインストールからサイバー犯罪者が利益を得るようにするといった機能を備えています。

また、トロイの木馬 Android.Joker ファミリーの新たな亜種も発見されています。これらトロイの木馬の主な機能は、任意のコードをダウンロードして実行し、受信する通知の内容を傍受し、ユーザーを同意なしに密かに有料モバイルサービスに登録させるというものです。

11月の主な傾向

Androidデバイス上で検出される脅威の数が減少
Google Play上に新たなマルウェアが登場

11月の脅威

11月中旬、Doctor Webのマルウェアアナリストはアイケア（Eye care）用アプリケーションに組み込まれてGoogle Playから拡散されているトロイの木馬 Android.Mixi.44.origin を発見しました。このアプリケーションは実際にアプリとして機能しますが、それ以外に隠された悪意のある機能も備えています。

たとえば、 Android.Mixi.44.origin はさまざまなWebページを開き、それらを他のアプリのウィンドウやOSインターフェースの前面に表示させることができます。これにより、デバイスを普通に使用することが困難になります。Webページの内容は広告バナーや動画、さらにはフィッシングサイトなどあらゆるものがあります。

Android.Mixi.44.origin のもう一つの機能は、サイバー犯罪者からURLのリストを受け取り、それらのリンクをたどって密かにWebサイトを開くことです。こうしてサイトのアクセス数を人為的に増やすことでサイバー犯罪者がアフィリエイトサービスから報酬を得るようにします。

さらに、このトロイの木馬はアプリのインストールから不正な収益を得ようとします。そのために Android.Mixi.44.origin はユーザーによるアプリのインストールとアンインストールをモニタリングします。C&Cサーバーから受け取ったコマンドにGoogle Play上のアプリのページへのリンクが含まれていた場合、 Android.Mixi.44.origin はそのアプリがすでにインストールされているかどうかを確認し、インストールされていた場合はアプリ名とサイバー犯罪者の参照IDを広告分析サービスに送信します。こうしてトロイの木馬は広告分析サービスを騙し、サイバー犯罪者はユーザーによるインストールを自分の手柄にすることができます。

アプリが未だインストールされていなかった場合、トロイの木馬はそのアプリのパケット名とアプリへのリンクがロードされた時間を記憶し、ユーザーがアプリをインストールする時が来るのを待ちます。運よくユーザーがそのようなアプリをインストールした後は、前述の手口で同じように広告分析サービスを騙します。

Android.Mixi.44.origin に関する詳細についてはこちらの記事をご覧ください。

Dr.Web for Androidによる統計

Android.Click.348.origin: 自動的にWebサイトを開き、リンクや広告バナーをクリックするトロイの木馬です。ユーザーに疑いを抱かれないよう、無害なアプリを装って拡散される場合があります。
Android.Triada.510.origin
Android.Triada.541.origin: さまざまな悪意のある動作を実行する多機能なトロイの木馬です。このマルウェアは他のアプリのプロセスを感染させるトロイの木馬ファミリーに属します。亜種の中にはAndroidデバイスの製造過程で犯罪者によってファームウェア内に組み込まれているものもあります。さらに、保護されたシステムファイルやフォルダにアクセスするために脆弱性を悪用するものもあります。
Android.RemoteCode.6122: 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。亜種によって、さまざまなWebサイトを開く、リンクを辿る、広告バナーをクリックする、ユーザーを有料サービスに登録させるなどの動作を実行することができます。
Android.HiddenAds.518.origin: 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Program.FreeAndroidSpy.1.origin
Program.Reptilicus.7.origin
Program.Mrecorder.1.origin: Androidユーザーのアクティビティを監視し、サイバースパイ活動用のツールとして使用される可能性のあるスパイウェアです。デバイスの位置情報を追跡する、SMSやソーシャルネットワーク上のメッセージから情報を収集する、文書や写真、動画をコピーする、通話の盗聴を行うなどの動作を実行することができます。
Program.FakeAntiVirus.2.origin: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、完全版を購入するために料金を支払うよう要求する場合があります。
Program.CreditSpy.2: 個人情報に基づいてユーザーの信用格付けを行うよう設計されたプログラムの検出名です。SMSメッセージ、電話帳の連絡先情報、通話履歴などの情報を収集してリモートサーバーに送信します。

Tool.Obfuscapk.1: 難読化ツールObfuscapkによって保護されたアプリケーションの検出名です。このツールはAndroidアプリケーションのソースコードを自動的に変更し、難読化するためのもので、リバースエンジニアリングを困難にすることを目的としています。犯罪者は悪意のあるアプリケーションや危険なアプリケーションをアンチウイルスから保護する目的でこのツールを使用します。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.6.origin
Tool.SilentInstaller.13.origin
Tool.SilentInstaller.7.origin: アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。メインのOSに影響を及ぼさない仮想ランタイム環境を作成します。

Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュールです。属するファミリーやそれぞれの亜種によって、フルスクリーンモードで広告を表示させて他のアプリケーションのウィンドウをブロックする、さまざまな通知を表示させる、ショートカットを作成する、Webサイトを開くなどの動作を実行することができます。

Adware.Adpush.36.origin
Adware.SspSdk.1.origin
Adware.Adpush.6547
Adware.Myteam.2.origin
Adware.Toofan.1.origin

Google Play上の脅威

11月には Android.Mixi.44.origin のほかにトロイの木馬 Android.Joker ファミリーに属する新たな複数の亜種がウイルスアナリストによって発見され、 Android.Joker.418、 Android.Joker.419、 Android.Joker.452 としてウイルスデータベースに追加されました。これらトロイの木馬は翻訳アプリや壁紙集アプリなどの無害なソフトウェア、あるいはコンパスやフラッシュライト、水平器などを備えた多機能なツールとして拡散されていました。

これらのトロイの木馬は、任意のコードをダウンロードして実行し、ユーザーを有料モバイルサービスに登録させ、受信する通知から確認コードを盗むことができます。

お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

Android向けロシア初のアンチウイルス
Google Playからのダウンロード数が、1.4億件を突破しました
個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード