The page may not load correctly.
2022年11月1日
株式会社Doctor Web Pacific
アプリケーションが別のアプリをインストールせずに実行することを可能にする、特殊なソフトウェアツールも引き続き悪意のあるアクターによって広く使用され、ユーザーをスパイしたり監視したりするさまざまなアプリも依然として多く検出されています。
他のアプリの通知から情報を盗むよう設計されたトロイの木馬Android.Spy.4498の検出数は8月と比較して32.72%減少し、マルウェア検出数全体の四分の一強を占めるのみとなっています。
Google PlayではDoctor Webのスペシャリストによって新たな脅威が発見され、それらの中にはさまざまな詐欺スキームに用いられる偽アプリや、アドウェアが含まれていました。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュールです。属するファミリーやそれぞれの亜種によって、フルスクリーンモードで広告を表示させて他のアプリケーションのウィンドウをブロックする、さまざまな通知を表示させる、ショートカットを作成する、Webサイトを開くなどの動作を実行することができます。
2022年9月、Google Play上で新たな偽アプリが発見されました。これらアプリはうたわれた機能を実行しません。悪意のあるアクターはこれらの偽アプリを使用して複数の国のユーザーを標的に多岐にわたる詐欺スキームを実行しています。たとえば、トロイの木馬を含んだアプリAndroid.FakeApp.1005、Android.FakeApp.1007、Android.FakeApp.1011、Android.FakeApp.1012 はユーザーが金融リテラシーを向上させたり、石油・ガスプロジェクトに投資したり、特別な自動取引システムやオンラインで収入を得るサービスにアクセスしたりするためのアプリを装って拡散されていました。そのような偽アプリには「QuantumAI | income from 3000」、「QuantumAI - Earning System」、「Quantum AI - auto earning tool」、「КазГаз - инвест кабинет(KazGaz - invest cabinet)」、「ГосОпросы(GosOprosy)」、「ГазОнлайн: Платформа(GazOnlain: Platforma)」、「Газ Профи(Gaz Profi)」、「Gift cards and coupons 2022」などがあります。
これらの偽アプリにはロシアのユーザーを標的としたものや、カザフスタンや欧州連合諸国のロシア語話者を標的としたものがあり、いずれも特定のサービスに「アクセス」するためのアカウントを作成するようユーザーに促す詐欺サイトを開きます。アカウントを作成するために、ユーザーは個人情報(氏名やメールアドレス、携帯電話番号)を提供する必要があります。中にはSMSで送信されるワンタイムコードの入力を求められる場合もあります。「登録」が完了するとユーザーは別の疑わしいサイトにリダイレクトされるか、操作は正しく完了し「マネージャー」や「専門家」からすぐに連絡があると伝えるメッセージを受け取ります。一方で、ユーザーが提供した情報は第三者に送信されており、さらなるフィッシング攻撃の実行に使用されたり、広告・マーケティング会社に売られたり、ブラックマーケットで売られたりするなど、その後無断で悪用される可能性があります。
以下の画像はそのような偽アプリの例です。
これらトロイの木馬の中には、ユーザーの注意をひくために定期的に偽のメッセージを表示させるものもあります。多額の収益やカスタマーへのボーナスまたはギフトを約束するメッセージ、登録者数に限りがあると警告することで登録を促すメッセージなどです。
より多くのユーザーに拡散させるために、サイバー犯罪者はサードパーティアプリ内に組み込まれた広告システムを利用してこれらトロイの木馬を宣伝していました。フルスクリーン表示でのバナーや動画などでの広告が利用されるケースもあります。たとえば欧州連合諸国のロシア語話者を標的としたものでは、ロシアの大手石油・ガス企業の株式を無償で取得できると称してアプリをインストールするよう促す広告が確認されています。
以下の画像は、偽アプリの拡散に使用されていた広告の例です。
トロイの木馬Android.FakeApp.1006、Android.FakeApp.1008、Android.FakeApp.1009、Android.FakeApp.1010、Android.FakeApp.1019、そしてAndroid.FakeApp.1007の一部の亜種はロシアとウクライナのAndroidユーザーを標的に拡散されていました。これらのアプリは、無料の宝くじを受け取って抽選に参加することができるとうたったり、政府による経済的支援に関する情報を探して申請することができるとしてユーザーを騙します。
実際には、これらトロイの木馬は偽の情報を含む詐欺サイトを開き、宝くじの抽選や、経済的支援について検索・申請するプロセスをシミュレートします。賞金や支援を「受け取る」ためにユーザーは個人情報を提供する必要があります。さらに、お金を「送金」するための手数料や「郵送」するのための料金を支払うよう要求されます。ユーザーが提供した情報(クレジットカード情報など)と支払ったお金は攻撃者の手に渡り、一方でユーザーが約束された賞金や支援を受け取ることはありません。
以下の画像は、それらのアプリがどのように動作するかを表したものです。
そのほか、不要なアドウェアモジュールも新たに発見されました。Doctor Webの分類に従ってAdware.AdNoty.1およびAdware.AdNoty.2と名づけられたそれらのモジュールはさまざまなソフトウェアに組み込まれ、ゲームやアプリなどの広告を含んだ通知を定期的に表示させます。ユーザーが通知をタップすると、Androidデバイスのブラウザでさまざまなサイトが開かれます。表示されるサイトはモジュールの設定で指定されている広告URLのリストに従って決定されます。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Android向け Dr.Web製品をインストールすることをお勧めします。