2025年第2四半期のモバイルマルウェアレビュー

Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)によって収集された検出統計によると、2025年第2四半期にはアドウェア型トロイの木馬のさまざまなファミリーが引き続き最も多く検出されたマルウェアとなりました。中でも最も活発だったのは Android.HiddenAds ファミリーで、その検出数には8.62%の減少がみられたものの依然として首位をキープしています。2番目に多く検出されたのはアドウェア型トロイの木馬 Android.MobiDash で、検出数は11.17%増加しました。さまざまな詐欺スキームに用いられる悪意のあるプログラム Android.FakeApp が3位につけましたが、検出数は25.17%減少しています。

バンキング型トロイの木馬 Android.Banker の活動は前四半期と比較して73.15%増加しています。一方で、Android.BankBot は37.19%減、 Android.SpyMax は19.14%減となるなど、その他のバンキング型トロイの木馬ファミリーでは検出数に減少がみられました。

4月、Doctor WebはAndroidスマートフォンユーザーから仮想通貨(暗号資産)を盗む大規模な攻撃キャンペーンについて記事を公表しました。このキャンペーンでは、攻撃者はメッセージングアプリWhatsAppにトロイの木馬 Android.Clipper.31 を潜ませ、その改造版WhatsAppを低価格Androidスマートフォンモデルのファームウェアに組み込んでいました。 Android.Clipper.31 はWhatsAppチャット内の送受信メッセージを傍受してメッセージ内で仮想通貨TronまたはEtheriumのウォレットアドレス形式に一致する文字列を検出し、それらを攻撃者のアドレスに置き換えます。その際、ユーザーが置き換えに気づかないよう、感染したデバイスのメッセージ内にはユーザー自身の「正しい」ウォレットアドレスが表示されるようになっています。さらに、 Android.Clipper.31 はユーザーの仮想通貨ウォレットのニーモニックフレーズを見つけ出すために、.jpg、.png、.jpeg形式の画像をすべて攻撃者のサーバーに送信します。

同じく4月には、ロシアの軍関係者を標的とするスパイウェア型トロイの木馬も 発見されました。このスパイウェア Android.Spy.1292.origin は地図アプリAlpineQuestの改変されたバージョンに隠され、脅威アクターによって作成された偽のTelegramチャンネルやロシアのAndroidアプリ配信サイトから拡散されていました。Android.Spy.1292.origin はユーザーのアカウントや携帯電話番号、電話帳の連絡先、感染したデバイスの位置情報、メモリ内に保存されているファイルに関する情報などを含む機密データを攻撃者に送信します。攻撃者からコマンドを受信した場合、トロイの木馬は指定されたファイルを盗むことができます。主に狙われているのはユーザーがポピュラーなメッセンジャー経由で送信する機密文書やAlpineQuestの位置情報ログファイルです。

Google Playでは第2四半期を通して新たな脅威が発見され、それらの中にはさまざまなトロイの木馬や広告を表示する望ましくないソフトウェアが含まれていました。

Dr.Web Security Space for mobile devicesによる統計

Android.HiddenAds.657.origin

Android.HiddenAds.4214

Android.HiddenAds.4213

迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。.

Android.MobiDash.7859

迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

Android.FakeApp.1600

設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。

Program.FakeMoney.11

さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために(多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます)、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。

Program.CloudInject.1

クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)

Program.FakeAntiVirus.1

アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。

Program.TrackView.1.origin

Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Program.SecretVideoRecorder.1.origin

Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Tool.NPMod.3

Tool.NPMod.1

NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。

Tool.Androlua.1.origin

スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。

Tool.SilentInstaller.14.origin

アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。

Tool.Packer.1.origin

Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。

Adware.ModAd.1

その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod(改造版)です。このコードはメッセンジャーの動作中にWebコンテンツを表示(Android WebViewコンポーネントを使用して)させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。

Adware.AdPush.3.origin

Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。

Adware.Basement.1

迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。

Adware.Fictus.1.origin

net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。

Adware.Jiubang.1

Androidデバイス向けの望ましくないアドウェアで、アプリケーションのインストール時に特定のプログラムを宣伝するバナーを表示させます。

Google Play上の脅威

2025年第2四半期、Doctor WebのウイルスアナリストはGoogle Playで数十の脅威を発見しました。それらの中には Android.FakeApp ファミリーに属する偽アプリが含まれており、これまで同様その多くは金融関連アプリを装って活発に拡散されていました。これらの偽アプリは、うたわれた機能を実行する代わりに詐欺サイトを開きます。

発見されたトロイの木馬の例：トルコのユーザーを標的に「預金や収入を簡単に管理できる」とうたうアプリ「TPAO」に潜んだ Android.FakeApp.1863 と、フランス語圏のユーザーを標的にした金融アシスタントアプリ「Quantum MindPro」に偽装した Android.FakeApp.1859

ゲームに偽装するという手口も、Android.FakeApp 偽アプリの拡散手法として引き続き多く用いられています。この種の偽アプリは特定の条件下でゲームとして機能する代わりにオンラインカジノやブックメーカーのサイトを開きます。

オンラインカジノのサイトを開く場合のある偽ゲームの1つAndroid.FakeApp.1840 (「Pino Bounce」)

そのほか、仮想通貨に関する情報を提供するアプリ「Coin News Promax」に隠されていいた、広告を表示させる望ましくないソフトウェア Adware.Adpush.21912 も検出されています。 Adware.Adpush.21912 は通知を表示させ、その通知がクリックされるとC2サーバーによって指定されたリンクをWebView内で開きます。

お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向け Dr.Webアンチウイルス製品をインストールすることをお勧めします。