マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話

お問い合わせ履歴

電話(英語)

+7 (495) 789-45-86

Profile

2024年第2四半期のモバイルマルウェアレビュー

2024年7月2日

株式会社Doctor Web Pacific

Android向け Dr.Web製品によって収集された検出統計によると、2024年第2四半期に最も多く検出された悪意のあるプログラムはアドウェア型トロイの木馬 Android.HiddenAds となりました。2番目に多く検出された悪意のあるプログラムは、サイバー犯罪者によってさまざまな詐欺スキームに用いられる Android.FakeApp トロイの木馬でした。検出されたこのトロイの木馬ファミリーの大部分を占めていたのが5月末にDoctor Webのエキスパートによって発見されたトロイの木馬 Android.FakeApp.1600 です。このトロイの木馬は悪意のあるサイトからゲームアプリとして拡散されており、起動されると、トロイの木馬の設定内で指定されているWebサイトを開きます。これまでに知られている亜種は「Wheel of Fortune」系のゲームをプレイできるとするオンラインカジノのサイトを開きますが、プレイしようとしたユーザーは登録ページにリダイレクトされます。この悪意のあるプログラムの高い検出数の裏には、これらが別のソフトウェアのアプリ内広告で宣伝されているという背景があります。それらの広告をタップしてしまったユーザーは悪意のあるサイトに飛ばされ、そこからトロイの木馬がダウンロードされます。3 番目に多く検出されたのは、スパイウェア機能を備えた Android.Spy トロイの木馬でした。

Google Payでは新たな脅威が発見され、それらの中には Android.FakeApp ファミリーに属するさまざまな偽アプリや、仮想報酬を現金化して引き出すことができるとうたう望ましくないアプリ Program.FakeMoney.11 が含まれていました。また、ユーザーを有料サービスに登録するトロイの木馬も引き続きGoogle Playから拡散されています。

Dr.Web for Androidによる統計

Android.FakeApp.1600
設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.HiddenAds.3956
Android.HiddenAds.3980
Android.HiddenAds.3989
迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.Spy.5106
WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Program.CloudInject.1
クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
Program.FakeMoney.11
動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。.
Program.FakeAntiVirus.1
アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.TrackView.1.origin
Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin
Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.Packer.1.origin
Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。
Tool.NPMod.1
Tool.NPMod.2
NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Adware.ModAd.1
その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod(改造版)です。このコードはメッセンジャーの動作中にWebコンテンツを表示(Android WebViewコンポーネントを使用して)させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.AdPush.39.origin
Adware.Adpush.21846
Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.ShareInstall.1.origin
Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告を含んだ通知を表示します。
Adware.Airpush.7.origin
Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。

Google Play上の脅威

2024年第2四半期、Doctor Webのウイルスラボは Android.FakeApp ファミリーに属する新たなトロイの木馬アプリをGoogle Play上で発見しました。それらの一部は金融関連アプリやアンケートやクイズに参加するためのアプリを装って拡散されていました。

これらのアプリは、知名度の高い金融機関や石油・ガス会社に代わって金融教育を提供したり投資家になる機会を提供したりするとうたう詐欺サイトを開きます。ユーザーは「サービス」にアクセスするためにいくつかの質問に回答し、個人情報を提供するよう求められます。

Android.FakeApp ファミリーのまた別の一部は、さまざまなゲームに潜んでいました。これらの偽アプリは特定の条件下で、実際にゲームとして機能する代わりにブックメーカーやオンラインカジノのサイトを開きます。

同じくこのファミリーに属するまた別のトロイの木馬 Android.FakeApp.1607 は、画像収集アプリを装っていました。このアプリは実際にうたわれた機能を提供しますが、代わりにオンラインカジノのサイトを開く場合もあります。

求人検索アプリを装って拡散されていた Android.FakeApp の亜種もいくつか発見されています。

これらトロイの木馬( Android.FakeApp.1605Android.FakeApp.1606 )は偽の求人情報を表示し、Telegramなどのメッセンジャーを使用して「雇用主」に連絡するか、または個人情報を記入した「履歴書」を送信するようユーザーに指示します。詐欺師はここで興味を示したユーザーを、お金を儲けることができるとする別の詐欺スキームに誘い込み、金銭を詐取しようとする可能性があります。

Program.FakeMoney ファミリーに属する新たな望ましくないプログラムも発見されています。これらのアプリはさまざまなタスクを完了することで仮想報酬を受け取ることができるとうたっています。この報酬を現金化して引き出すことができるとしていますが、実際には報酬が支払われることはありません。これらアプリの目的は、できるだけ長くユーザーがアプリを使い続けるようにすることです。その間に広告を表示させ、それがデベロッパーの収益となります。

今回発見されたアプリ( Program.FakeMoney.11 )はゲーム「One-Armed Bandit」のバリエーションの1つで、ユーザーがゲームをプレイしてアプリ内広告を視聴することで仮想報酬を受け取ることができるというものです。ユーザーが「報酬」を引き出そうとすると、次々と別の条件を追加され、手続きを引き延ばされます。最終的にユーザーが報酬引き出しの申請に「成功」しても審査待ちの状態となり、この審査待ちの列にはすでに何千人もの他の「申請者」が連なっています。

そのほか、ユーザーを有料サービスに登録する Android.Harly ファミリーに属する新たなトロイの木馬( Android.Harly.87 )もGoogle Playから拡散されました。

お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向け Dr.Webアンチウイルス製品をインストールすることをお勧めします。

Indicators of compromise(侵害の痕跡)※英語