2022年11月1日
株式会社Doctor Web Pacific
アプリケーションが別のアプリをインストールせずに実行することを可能にする、特殊なソフトウェアツールも引き続き悪意のあるアクターによって広く使用され、ユーザーをスパイしたり監視したりするさまざまなアプリも依然として多く検出されています。
他のアプリの通知から情報を盗むよう設計されたトロイの木馬Android.Spy.4498の検出数は8月と比較して32.72%減少し、マルウェア検出数全体の四分の一強を占めるのみとなっています。
Google PlayではDoctor Webのスペシャリストによって新たな脅威が発見され、それらの中にはさまざまな詐欺スキームに用いられる偽アプリや、アドウェアが含まれていました。
9月の主な傾向
- Android.Spy.4498トロイの木馬の活動が減少
- アドウェア型トロイの木馬の活動が減少
- 不要なアドウェアモジュールが組み込まれたアプリの検出数が増加
- Google Play上に新たな脅威が出現
Dr.Web for Androidによる統計
- Android.Spy.4498
- 他のアプリの通知内容を盗むトロイの木馬です。アプリをダウンロードしてインストールするようユーザーに促したり、さまざまなダイアログボックスを表示したりすることもできます。
- Android.HiddenAds.3490
- Android.HiddenAds.3345
- 迷惑な広告を表示させるよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
- Android.BankBot.11466
- ApkProtectorパッカーによって保護されたマルウェアの検出名です。そのようなマルウェアにはバンキング型トロイの木馬やスパイウェア型トロイの木馬などの脅威が含まれます。
- Android.MobiDash.6945
- 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれるソフトウェアモジュールです。
- Program.FakeAntiVirus.1
- アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、完全版を購入するために料金を支払うよう要求する場合があります。
- Program.SecretVideoRecorder.1.origin
- Program.SecretVideoRecorder.2.origin
- Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にしたり、アプリのアイコンと表示名を偽のものに置き換えたりすることができ、密かに動作することが可能です。これらの機能により、潜在的に危険なソフトウェアと見なされます。
- Program.wSpy.1.origin
- Program.MobileTool.2.origin
- Androidユーザーのアクティビティを監視するスパイウェアです。サイバースパイツールとして使用される可能性があります。バージョンや亜種によって、デバイスの位置情報を追跡する、SMSやソーシャルメディアメッセージから情報を収集する、文書や写真、動画をコピーする、通話の盗聴を行うなどの動作を実行することができます。
- Tool.SilentInstaller.14.origin
- Tool.SilentInstaller.6.origin
- Tool.SilentInstaller.13.origin
- Tool.SilentInstaller.7.origin
- アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。メインのOSに影響を及ぼさない仮想ランタイム環境を作成します。
- Tool.Obfuscapk.1
- 難読化ツールObfuscapkによって保護されたアプリケーションの検出名です。このツールはAndroidアプリのソースコードを自動的に変更し、難読化するためのもので、リバースエンジニアリングを困難にすることを目的としています。サイバー犯罪者は悪意のあるアプリケーションをアンチウイルスによる検出から保護する目的でこのツールを使用します。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュールです。属するファミリーやそれぞれの亜種によって、フルスクリーンモードで広告を表示させて他のアプリケーションのウィンドウをブロックする、さまざまな通知を表示させる、ショートカットを作成する、Webサイトを開くなどの動作を実行することができます。
- Adware.AdPush.36.origin
- Adware.Adpush.16510
- Adware.SspSdk.1.origin
- Adware.Airpush.7.origin
- Adware.Myteam.2.origin
Google Play上のトロイの木馬
2022年9月、Google Play上で新たな偽アプリが発見されました。これらアプリはうたわれた機能を実行しません。悪意のあるアクターはこれらの偽アプリを使用して複数の国のユーザーを標的に多岐にわたる詐欺スキームを実行しています。たとえば、トロイの木馬を含んだアプリAndroid.FakeApp.1005、Android.FakeApp.1007、Android.FakeApp.1011、Android.FakeApp.1012 はユーザーが金融リテラシーを向上させたり、石油・ガスプロジェクトに投資したり、特別な自動取引システムやオンラインで収入を得るサービスにアクセスしたりするためのアプリを装って拡散されていました。そのような偽アプリには「QuantumAI | income from 3000」、「QuantumAI - Earning System」、「Quantum AI - auto earning tool」、「КазГаз - инвест кабинет(KazGaz - invest cabinet)」、「ГосОпросы(GosOprosy)」、「ГазОнлайн: Платформа(GazOnlain: Platforma)」、「Газ Профи(Gaz Profi)」、「Gift cards and coupons 2022」などがあります。
これらの偽アプリにはロシアのユーザーを標的としたものや、カザフスタンや欧州連合諸国のロシア語話者を標的としたものがあり、いずれも特定のサービスに「アクセス」するためのアカウントを作成するようユーザーに促す詐欺サイトを開きます。アカウントを作成するために、ユーザーは個人情報(氏名やメールアドレス、携帯電話番号)を提供する必要があります。中にはSMSで送信されるワンタイムコードの入力を求められる場合もあります。「登録」が完了するとユーザーは別の疑わしいサイトにリダイレクトされるか、操作は正しく完了し「マネージャー」や「専門家」からすぐに連絡があると伝えるメッセージを受け取ります。一方で、ユーザーが提供した情報は第三者に送信されており、さらなるフィッシング攻撃の実行に使用されたり、広告・マーケティング会社に売られたり、ブラックマーケットで売られたりするなど、その後無断で悪用される可能性があります。
以下の画像はそのような偽アプリの例です。
これらトロイの木馬の中には、ユーザーの注意をひくために定期的に偽のメッセージを表示させるものもあります。多額の収益やカスタマーへのボーナスまたはギフトを約束するメッセージ、登録者数に限りがあると警告することで登録を促すメッセージなどです。
より多くのユーザーに拡散させるために、サイバー犯罪者はサードパーティアプリ内に組み込まれた広告システムを利用してこれらトロイの木馬を宣伝していました。フルスクリーン表示でのバナーや動画などでの広告が利用されるケースもあります。たとえば欧州連合諸国のロシア語話者を標的としたものでは、ロシアの大手石油・ガス企業の株式を無償で取得できると称してアプリをインストールするよう促す広告が確認されています。
以下の画像は、偽アプリの拡散に使用されていた広告の例です。
トロイの木馬Android.FakeApp.1006、Android.FakeApp.1008、Android.FakeApp.1009、Android.FakeApp.1010、Android.FakeApp.1019、そしてAndroid.FakeApp.1007の一部の亜種はロシアとウクライナのAndroidユーザーを標的に拡散されていました。これらのアプリは、無料の宝くじを受け取って抽選に参加することができるとうたったり、政府による経済的支援に関する情報を探して申請することができるとしてユーザーを騙します。
実際には、これらトロイの木馬は偽の情報を含む詐欺サイトを開き、宝くじの抽選や、経済的支援について検索・申請するプロセスをシミュレートします。賞金や支援を「受け取る」ためにユーザーは個人情報を提供する必要があります。さらに、お金を「送金」するための手数料や「郵送」するのための料金を支払うよう要求されます。ユーザーが提供した情報(クレジットカード情報など)と支払ったお金は攻撃者の手に渡り、一方でユーザーが約束された賞金や支援を受け取ることはありません。
以下の画像は、それらのアプリがどのように動作するかを表したものです。
そのほか、不要なアドウェアモジュールも新たに発見されました。Doctor Webの分類に従ってAdware.AdNoty.1およびAdware.AdNoty.2と名づけられたそれらのモジュールはさまざまなソフトウェアに組み込まれ、ゲームやアプリなどの広告を含んだ通知を定期的に表示させます。ユーザーが通知をタップすると、Androidデバイスのブラウザでさまざまなサイトが開かれます。表示されるサイトはモジュールの設定で指定されている広告URLのリストに従って決定されます。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Android向け Dr.Web製品をインストールすることをお勧めします。
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます