2017年11月のモバイルマルウェア
2017年11月30日
株式会社Doctor Web Pacific
11月には、Google Play上で新たな悪意のあるアプリケーションが多数検出されました。
11月初旬、モバイルデバイスの容量を使用して仮想通貨をマイニングするマイニング型トロイの木馬が検出され、その後、ユーザーを有料サービスに登録するSMS型トロイの木馬が発見されました。11月中旬には、追加のモジュールをダウンロードする悪意のあるプログラムがDoctor Webのスペシャリストによって検出されました。これらのモジュールはWebサイトを開いて広告やリンクをタップします。また、様々なアプリケーションをダウンロードするよう設計されたトロイの木馬がGoogle Playから拡散されていました。そのほか、同じくGoogle Play上でAndroid向けバンキング型トロイの木馬が検出されています。これらのトロイの木馬はユーザーの個人情報と銀行口座のお金を盗むよう設計されていました。
11月の主な傾向
- 無害なアプリケーションに組み込まれたトロイの木馬を多数Google Play上で検出
11月のモバイル脅威
11月、Doctor Webのセキュリティスペシャリストは Android.RemoteCode.106.origin を含んだ9つのアプリケーションをGoogle Play上で発見しました。これらのアプリケーションは少なくとも237万件ダウンロードされています。 Android.RemoteCode.106.origin は追加の悪意のあるモジュールをダウンロードして起動させます。それらのモジュールはコントロールサーバーによって指定されたWebサイトを自動的に開き、広告やリンクをタップします。この脅威の詳細についてはこちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.HiddenAds.238
- モバイルデバイス上に望まない広告を表示するよう設計されたトロイの木馬です。
- Android.Triada.63
- Android.Triada.152
- 様々な悪意のある機能を実行するトロイの木馬です。
- Android.DownLoader.653.origin
- 別のマルウェアをダウンロードするよう設計されたトロイの木馬です。
- Android.Click.171.origin
- サイバー犯罪者によって指定されたWebサイトを定期的にリクエストするよう設計されたトロイの木馬ファミリーで、トラフィックを増やすためや広告リンクを辿るために使用されます。
- Adware.Jiubang.2
- Adware.Jiubang.1
- Adware.Adviator.6.origin
- Adware.Airpush.31.origin
- Adware.SalmonAds.1.origin
- Androidアプリケーションに組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
マイニング型トロイの木馬
11月初旬、Google Play上で Android.CoinMine.3 が検出されました。Androidモバイルデバイスの容量を使用して仮想通貨Moneroをマイニングするこのマルウェアは、Club CooeeオンラインチャットにアクセスするためのアプリケーションXCOOEEPに潜んでいました。
Android.CoinMine.3 は、自動的に実行されるマイニングスクリプトを含んだWebサイトをユーザーには見えないWebViewウィンドウ内で開きます。集中的なマイニングプロセスの結果、感染したモバイルデバイスのパフォーマンスは低下し、デバイスが熱を持ち、バッテリーの減りが早くなる可能性があります。
SMS型トロイの木馬
11月には、複数のSMS型トロイの木馬がGoogle Playから拡散されました。 Android.SmsSend.23371、 Android.SmsSend.23373、 Android.SmsSend.23374としてDr.Webに検出されるそれらトロイの木馬は、アプリケーションSecret Notepad、 Delicate Keyblard、 Super Emotionに組み込まれていました。これらトロイの木馬は高額なメッセージを送信し、ユーザーを望まないサービスに登録します。
ダウンローダ型トロイの木馬
11月、 Android.DownLoader.658.origin の新たな亜種がGoogle Play上で発見されました。このトロイの木馬はサイバー犯罪者の指示に従って、様々なアプリケーションをダウンロード・インストールするようユーザーに提案します。また、それだけでなく、自力でソフトウェアをダウンロードすることもできます。 Android.DownLoader.658.origin は次のような特徴を備えています:
- 無害なアプリケーションに組み込まれている
- いくつかの条件(エミュレーター上で動作している、デベロッパー向けの機能がモバイルデバイス上でオフになっている、など)が満たされた場合のみ悪意のある動作がアクティベートされる
- プログラムのダウンロード・インストールに関する通知を表示させる
- 検出・解析されることを防ぐため、トロイの木馬の作成者は Android.Packed.1 として検出される特別なパッカーを使用している
バンキング型トロイの木馬
11月、Google Play上でトロイの木馬 Android.Banker.202.origin が検出されました。このトロイの木馬は無害なアプリケーションに潜んでいました。起動されると、悪意のある複数のコンポーネントを自身のリソースフォルダから抽出し、悪意のあるプログラム Android.Banker.1426 を起動させます。次に、このトロイの木馬がコントロールサーバーから Android.BankBot ファミリーに属するAndroid向けバンキング型トロイの木馬をダウンロードしますが、のマルウェアはログインや認証情報、その他の機密情報を盗むよう設計されています。
11月には同じくGoogle Play上で Android.Banker ファミリーに属する複数のトロイの木馬が検出されており、これらトロイの木馬でも同様の手法が用いられています。すなわち、これらトロイの木馬は隠された悪意のあるコンポーネントを抽出して起動させ、このコンポーネントもまた、自身のファイルリソースから別のトロイの木馬コンポーネントを抽出して起動させます。そしてそのコンポーネントが、リモートロケーションからバンキング型トロイの木馬をダウンロード・インストールしようと試みます。
Google Play上で悪意のあるアプリケーションが多数発見されているという事実は、サイバー犯罪者がその防御メカニズムをすり抜ける新しい方法を未だ編み出し続けているということを示しています。Doctor Webでは、モバイルデバイスをトロイの木馬や不要なプログラムから守るためにAndroid向けのDr.Webアンチウイルス製品をインストールすることをお勧めしています。
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です