Dr.Web — 2023年12月のモバイルマルウェアレビュー

2024年2月1日

株式会社Doctor Web Pacific

Android向けDr.Web製品によって収集された検出統計によると、2023年12月には Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が再び最も多く検出された悪意のあるプログラムとなりました。ただし、その検出数は前月と比較して53.89%減少しています。また、バンキング型トロイの木馬とスパイウェア型トロイの木馬の検出数もそれぞれ0.88%と10.83%減少しています。

2023年最後の月にも、Google Payでは Android.FakeApp ファミリーに属する新たな悪意のある偽アプリが発見されています。これらの偽アプリはさまざまな詐欺スキームに用いられています。そのほか、偽の仮想通貨ウォレットアプリを拡散する新たなサイトがDoctor Webのスペシャリストによって発見されました。

12月の主な傾向

Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬が、最も多く検出された脅威となる
バンキング型トロイの木馬とスパイウェア型トロイの木馬の活動が減少
Google Play上で新たな悪意のあるプログラムを発見
AndroidとiOS 両方のデバイス向けの偽の仮想通貨ウォレットアプリを拡散する新たなWebサイトを発見

Dr.Web for Androidによる統計

Android.Spy.5106: WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Android.HiddenAds.3831
Android.HiddenAds.3851: 迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.MobiDash.7805: 迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。
Android.Click.1751: サードパーティによるWhatsAppメッセンジャーのMod(改造版)に組み込まれ、Googleのライブラリクラスに偽装したトロイの木馬です。ホストアプリケーションが使用されている間にC&Cサーバーの1つに接続し、そこから2つのURLを受け取ります。1つはロシア語圏のユーザーを対象としたもので、もう1つはそれ以外のユーザーを対象としています。次に、同じくリモートサーバーから受け取った内容のダイアログボックスを表示させ、ユーザーが確認ボタンをクリックすると該当するリンクをブラウザで開きます。

Program.CloudInject.1: クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
Program.FakeAntiVirus.1: アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.wSpy.3.origin: Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。
Program.FakeMoney.7: 動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても、実際にお金を手にすることはできません。
Program.SecretVideoRecorder.1.origin: Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Tool.NPMod.1: NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.LuckyPatcher.1.origin: その動作ロジックを変更したり特定の制限を回避したりする目的で、Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。たとえば、ユーザーはこのツールを適用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.ApkProtector.16.origin: ApkProtectorソフトウェアパッカーによって保護されたAndroidアプリの検出名です。このパッカー自体は悪意のあるものではありませんが、マルウェアや望ましくないアプリケーションをアンチウイルスソフトウェアによって検出されにくくする目的で、サイバー犯罪者によって使用される可能性があります。

Adware.ShareInstall.1.origin: Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告通知を表示します。
Adware.Adpush.21846
Adware.AdPush.39.origin: Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Airpush.7.origin: Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
Adware.Fictus.1.origin: net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。

Google Play上の脅威

2023年12月、Doctor Webのスペシャリストは Android.FakeApp ファミリーに属する新たな悪意のあるプログラムをGoogle Play上で発見しました。それらのうち、 Android.FakeApp.1564 は借金を記録するアプリを装って拡散され、 Android.FakeApp.1563 はアンケートアプリに潜んでいました。また、 Android.FakeApp.1569 は生産性を高め良い習慣を身に着けるサポートをしてくれるアプリとして拡散されていました。

これらの偽アプリはすべて、銀行や報道機関またはその他の有名企業の公式サイトを模倣した偽の金融関連サイトを開きます。ユーザーを欺くために、サイトにはそれぞれ該当する企業の名前やロゴが使用されています。それらの偽サイトで、ユーザーは投資を行ったり、金融リテラシーを高めるトレーニングやファイナンシャルサポートを受けたりできると提案されます。その際、アカウントに登録してサービスにアクセスするためと称して、個人情報を提供するよう求められます。

以下の画像は、それらのトロイの木馬によって開かれるサイトの例です。