2020年10月のモバイルマルウェアレビュー

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "Overview" }, { box => "Statistics" }, { box => "Threats on Google Play" } ] #FILE_REVIEW = 'https://st.drweb.co.jp/static/new-www/news/2020/DrWeb_virus_review_mob_september_2020.pdf' %] [% BLOCK global.tpl_blueprint.content %]

2020年11月10日

株式会社Doctor Web Pacific

2020年10月はAndroidデバイス上で検出された脅威の数は9月と比較して12.36%増加しました。マルウェア、不要なソフトウェア、リスクウェアの検出数はそれぞれ 9.08%、 6%、 197.24% と増加し、一方でアドウェアの検出数は 1.51% 減少しています。

リスクウェアの検出数が3倍近く増加しているのは、ツール Tool.Obfuscapk.1 によって保護されたアプリが拡散されたことによるものです。このツールはAndroidアプリケーションのソースコードを難読化するためのものですが、正規の開発者のみでなく、トロイの木馬がアンチウイルスによって検出されないようにするためにマルウェア作成者によっても利用される可能性があります。

Google Playでは、 Android.FakeApp ファミリーに属するトロイの木馬が多数、Doctor Webのスペシャリストによって発見されました。これらトロイの木馬は税金の還付やさまざまな払戻しに関する情報を提供するためのソフトウェアを装って拡散されていました。その本当の機能は、被害者から個人情報と金銭を盗むためにスキャマーが使用する詐欺サイトをダウンロードするというものです。

Google Playで発見されたまた別のマルウェアは Android.HiddenAds.2314 と名付けられました。このトロイの木馬は迷惑な広告を表示させるよう設計され、画像編集ソフトウェアを装って拡散されていました。

Dr.Web for Androidによる統計

Android.Triada.510.origin

Android.Triada.541.origin

Android.Triada.4795

さまざまな悪意のある動作を実行する多機能なトロイの木馬です。このマルウェアは他のアプリのプロセスを感染させるトロイの木馬ファミリーに属します。亜種の中にはAndroidデバイスの製造過程で犯罪者によってファームウェア内に組み込まれているものもあります。さらに、保護されたシステムファイルやフォルダにアクセスするために脆弱性を悪用するものもあります。

Android.Click.348.origin

自動的にWebサイトを開き、リンクや広告バナーをクリックするトロイの木馬です。ユーザーに疑いを抱かれないよう、無害なアプリを装って拡散される場合があります。

Android.RemoteCode.6122

任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。亜種によって、さまざまなWebサイトを開く、リンクを辿る、広告バナーをクリックする、ユーザーを有料サービスに登録させるなどの動作を実行することができます。

Program.FreeAndroidSpy.1.origin

Program.Reptilicus.7.origin

Program.Mrecorder.1.origin

Androidユーザーのアクティビティを監視し、サイバースパイ活動用のツールとして使用される可能性のあるスパイウェアです。デバイスの位置情報を追跡する、SMSやソーシャルネットワーク上のメッセージから情報を収集する、文書や写真、動画をコピーする、通話の盗聴を行うなどの動作を実行することができます。

Program.FakeAntiVirus.2.origin

アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、完全版を購入するために料金を支払うよう要求する場合があります。

Program.CreditSpy.2

個人情報に基づいてユーザーの信用格付けを行うよう設計されたプログラムの検出名です。SMSメッセージ、電話帳の連絡先情報、通話履歴などの情報を収集してリモートサーバーに送信します。

Tool.Obfuscapk.1

難読化ツール Obfuscapk によって保護されたアプリケーションの検出名です。このツールはAndroidアプリケーションのソースコードを自動的に変更し、難読化するためのもので、リバースエンジニアリングを困難にすることを目的としています。犯罪者は悪意のあるアプリケーションや危険なアプリケーションをアンチウイルスから保護する目的でこのツールを使用します。

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.13.origin

Tool.SilentInstaller.14.origin

アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。メインのOSに影響を及ぼさない仮想ランタイム環境を作成します。

Tool.Packer.1.origin

Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。

Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュールです。属するファミリーやそれぞれの亜種によって、フルスクリーンモードで広告を表示させて他のアプリケーションのウィンドウをブロックする、さまざまな通知を表示させる、ショートカットを作成する、Webサイトを開くなどの動作を実行することができます。

• Adware.Adpush.36.origin
• Adware.SspSdk.1.origin
• Adware.Adpush.6547
• Adware.Myteam.2.origin
• Adware.Toofan.1.origin

Google Play上の脅威

10月、Doctor Webのスペシャリストはトロイの木馬 Android.FakeApp ファミリーの新たな17の亜種を発見しました。これらトロイの木馬は、情報を提供する無害なアプリケーションを装って拡散されていました。それらの多くは、さまざまな払戻しを受けることが可能であるかどうかを調べるためや、税還付金を受け取るために使用できると称するアプリに隠されていました。これらトロイの木馬はDr.Webの分類に従って Android.FakeApp.208、 Android.FakeApp.209、 Android.FakeApp.210、 Android.FakeApp.212、 Android.FakeApp.213、 Android.FakeApp.214、 Android.FakeApp.215、 Android.FakeApp.216 と名付けられました。

もう1つの亜種はスポーツをテーマにしたアプリを装って拡散され、 Android.FakeApp.211 としてウイルスデータベースに追加されています。

これらの新たな亜種の実際の、そして唯一の目的は詐欺サイトを開くことです。これらトロイの木馬は合計で 105,000 件以上ダウンロードされています。

起動されると、これらトロイの木馬はWebサイトを開き、受けることのできる払戻しがあるかどうかを確認するために個人情報を提供するようユーザーに求めます。次に、払戻しが「見つかった」とユーザーに告げ、払戻し金を受け取るための追加の情報と「返金」されるお金を送金するための手数料を要求します。ユーザーが同意すると、個人情報（氏名や携帯電話番号、メールアドレスなど）のみでなく、セキュリティコード（CVV2コード）を含むクレジットカード情報が犯罪者の手に渡り、その後、被害者が金銭を受け取ることはありません。

10月にGoogle Playで発見されたもう1つの脅威は、 Android.HiddenAds ファミリーに属するトロイの木馬 Android.HiddenAds.2314 です。このトロイの木馬は画像編集アプリケーションとして拡散されていました。起動されると、ユーザーに見つかって削除されることのないようにホーム画面のアプリ一覧から自身のアイコンを隠します。次に、別のソフトウェアのインターフェースやシステムUIの前面に迷惑な広告を表示させます。これにより、デバイスを普通に使用することが困難になります。

お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。

[% END %]