2025年のウイルスレビュー

毎月ウィルスレビュー | 全てのニュース

2026年1月22日

2025年には、広告を表示させるトロイの木馬が最も多く検出された脅威の1つとなりました。さまざまな悪意のあるスクリプトや、感染させたシステム上で別のマルウェアを起動させるトロイの木馬プログラムも多く検出されています。メールトラフィック内では、ダウンローダ型トロイの木馬、バックドア、エクスプロイト、悪意のあるスクリプト、そしてフィッシングドキュメントが最も多く検出されました。

モバイルデバイスでは、広告を表示させるトロイの木馬とならんで、さまざまな詐欺スキームに用いられる偽アプリが最も多く検出された脅威となりました。バンキング型トロイの木馬の活動も増加しています。また、Google Playでは数十もの新たな悪意のあるアプリ、望ましくないアプリ、アドウェアアプリがDoctor Webのウイルスアナリストによって発見されました。

2025年にテクニカルサポートに寄せられたファイルの復号化リクエスト数は2024年と比較して減少しました。一方で、Telegramアカウントを盗む目的で作成された詐欺サイト数の増加がインターネットアナリストによって確認され、悪質な金融関連サイトも引き続き多く観測されています。

2025年には、複数の標的型攻撃に関してDoctor Webのアンチウイルスラボによる調査が行われました。そのうちの1つはロシアの機械工学系企業を標的とした攻撃で、脅威アクターは複数の悪意のあるツールを使用することで、感染させたコンピューターから機密情報を取得しようと試みています。Doctor Webのエキスパートにより、この攻撃の背後にいるのはハッカー集団「Scaly Wolf」であるということが特定されました。また別のインシデントはハッカー集団「Cavalry Werewolf」がロシア政府機関を攻撃したというものです。この攻撃に関する調査では脅威アクターによって使用されていた多数のツールが特定され、Cavalry Werewolfの特徴やこのハッカー集団が侵害されたネットワーク内で実行する典型的なアクションについても明らかにしています。

2025年を通して、Doctor Webではその他の情報セキュリティインシデントについても記事を公開してきました。1月には複数の異なるマルウェアを使用して仮想通貨Moneroをマイニングするアクティブなキャンペーンが発見され、4月には複数の安価なAndroidスマートフォンモデルのファームウェア内に埋め込まれた、仮想通貨を窃取するトロイの木馬について注意を喚起しました。同じく4月には、ロシア軍関係者をスパイする目的で使用されていた、人気の地図アプリの改変版に埋め込まれたAndroid向けトロイの木馬も発見されています。

7月、Doctor Webは仮想通貨とパスワードを盗むよう設計された新たなトロイの木馬ファミリーについて報告しました。これらトロイの木馬はゲームのmodやパッチ、チートに偽装して拡散されていました。8月にはロシア企業の従業員を標的に拡散されていたモバイルデバイス向けの多機能バックドアについて注意を喚起しています。サイバー犯罪者はこのマルウェアを遠隔操作し、機密情報の窃取や被害者に対するスパイ活動を行っていました。

10月には、メッセンジャーアプリTelegram Xの改変版に埋め込まれて拡散されていたAndroidデバイス向けバックドアが発見されました。このバックドアはTelegramアカウントのログインIDとパスワードをはじめとする機密情報を盗みます。このバックドアを使用することで、脅威アクターはハッキングしたアカウントを乗っ取るだけでなくメッセンジャーそのものを完全にコントロールし、ユーザーに成り代わってさまざまな操作を密かに実行することが可能です。

12月、Doctor Webはサイトのボット対策機能にブロックされないよう人間になりすましてサイトの人気度を人為的に高めるトロイの木馬について記事を公開しました。このマルウェアは脅威アクターから受け取ったパラメータに基づいて検索エンジン内で目的のサイトを自動的に検索して開き、そのWebページ上でユーザーの操作を模倣してクリックを実行します。

また2025年には、悪意のあるアクターがソーシャルエンジニアリング手法でユーザーを騙し、デバイス上で悪意のあるコードを実行させるClickFix攻撃の急増が確認されました。

2025年の主な傾向

  • 広告を表示させるトロイの木馬の活動が活発化
  • 新たな標的型攻撃が発生
  • ClickFix手法を用いた攻撃が流行
  • ランサムウェアによって暗号化されたファイルの復号化リクエスト数が減少
  • Android向けバンキング型トロイの木馬の検出数が増加
  • Androidデバイスのファームウェア感染の新たな事例を観測
  • 引き続きGoogle Playからさまざまな悪意のあるアプリや望ましくないアプリが拡散される

2025年の最も注目すべきイベント

2025年1月、Doctor Webのスペシャリストは悪意のあるマイナーSilentCryptoMinerを使用して仮想通貨Moneroをマイニングするキャンペーンを発見しました。SilentCryptoMinerのファイルはビデオ通話アプリなどのさまざまなソフトウェアに偽装して拡散され、コンピューターを感染させるとそこにインストールされている他のマイナーを削除します。このキャンペーンが進行するうちに、攻撃者は一部の悪意のあるコンポーネントの拡散に、ある情報を別の情報(画像など)の中に埋め込んで隠す手法であるステガノグラフィを用いるようになりました。特殊な方法で作成された画像がダウンロードされた後、そこからSilentCryptoMinerコンポーネントが抽出されて起動されます。

4月、Doctor Webは複数の安価なAndroidスマートフォンモデルのファームウェア内で発見されたトロイの木馬 Android.Clipper.31 について記事を公開しました。脅威アクターはまずこのトロイの木馬をメッセージングアプリWhatsAppの改変版に組み込み、次にAndroidスマートフォンメーカーのサプライチェーンを侵害することで、そのトロイの木馬化されたWhatsAppをスマートフォンにプリインストールしています。 Android.Clipper.31 はWhatsApp内で送受信されるメッセージを傍受し、仮想通貨TronおよびEthereumのウォレットアドレス形式に一致する文字列を検出してそれらを攻撃者のアドレスに置き換えます。同時に、置き換えに気づかれることのないようユーザーに対しては正しいウォレットアドレスを表示させます。

4月下旬、Doctor Webのエキスパートは地図アプリ「AlpineQuest」の一部のバージョンに埋め込まれてロシア軍関係者をスパイする目的で使用されていたトロイの木馬 Android.Spy.1292.origin発見しました。このトロイの木馬は感染したデバイスから機密情報を収集するほか、攻撃者がファイルを盗むことも可能にします。

7月、Doctor Webは仮想通貨やパスワードを盗むよう設計されたトロイの木馬 Trojan.Scavenger について記事を公開しました。このトロイの木馬はゲームのmodやチート、パッチなどに偽装して拡散され、DLL検索順序ハイジャッキング脆弱性を悪用するなどの方法で正規ソフトウェアを利用して起動されます。

8月、Doctor Webはロシア企業の従業員を標的とした多機能バックドア Android.Backdoor.916.origin の拡散について記事を 公開しました。このマルウェアはアンチウイルスに偽装してメッセンジャーのダイレクトメッセージ(DM)から拡散され、標的デバイスを感染させた後は機密情報を収集するほか、攻撃者が被害者をスパイすることを可能にします。

8月には、ロシアの機械工学系企業を狙ったScaly Wolfグループによる標的型攻撃に関する調査レポートも公開しています。この攻撃では複数の悪意のあるツールが用いられており、そのうちメインとなるものの1つがモジュール型バックドアUpdatarでした。Updatarは攻撃者が感染させたコンピューターから機密データを収集することを可能にします。

10月、Doctor WebのエキスパートはメッセンジャーアプリTelegram Xの改変版に埋め込まれたバックドア Android.Backdoor.Baohuo.1.origin を発見しました。Android.Backdoor.Baohuo.1.origin はTelegramアカウントからログインIDとパスワードをはじめとする機密データを窃取します。また、脅威アクターがユーザーのアカウントとメッセンジャー自体の両方を完全にコントロールし、ユーザーに成り代わってさまざまな操作を密かに実行することを可能にします。たとえば、ユーザーをTelegramチャンネルに参加・退出させたり、特定のチャットや新規認証済みデバイスを非表示にしたりすることができます。

11月、Doctor Webはハッカー集団「Cavalry Werewolf」によるロシア政府機関を狙った標的型攻撃について調査レポートを公開しました。この調査において、Doctor WebのエキスパートはCavalry Werewolfが攻撃キャンペーンで使用していた多数の悪意のあるツールを特定することに成功しています。それらのツールにはオープンソースツールも含まれていました。Cavalry Werewolfの特徴についても調査が行われ、リバースシェルバックドアを好んで使用していること、感染させたコンピューターの操作にTelegram APIを頻繁に使用していることが明らかになりました。また、この攻撃は政府機関を騙って送信されるフィッシングメールから始まっており、これらのメールにさまざまな公文書を装ったマルウェアが添付されていました。

12月、Doctor Webは人間になりすましてサイトの人気度を人為的に高めるマルウェアTrojan.ChimeraWire に関する調査結果を公開しました。このトロイの木馬は悪意のあるアクターから受け取ったパラメータに従って、検索エンジンGoogleとBing内で目的のサイトを探してそれらを開き、そのサイト上でユーザーの操作を模倣してクリックを実行します。Trojan.ChimeraWire はDLL検索順序ハイジャッキング脆弱性を悪用する複数の悪意のあるダウンローダによってコンピューターにインストールされます。

2025年にはClickFix手法を用いた攻撃が急増しました。この攻撃はソーシャルエンジニアリングの一種で、攻撃者がユーザーを巧妙に操りデバイス上で悪意のあるコードを実行させるというものです。ユーザーが侵害されたサイトや偽サイトにアクセスすると、ブラウザのエラーによりWebページを正しく表示できない、あるいは更新が必要であるなどと通知する警告メッセージが表示され、問題を「修正(fix)」するよう誘導されます。攻撃の種類によって、ユーザーはWebページ上に表示されている文字列をコピーするか、またはただ単に該当するボタン(「更新」、「修正」など)をクリックするよう指示されます。後者の場合、攻撃者が必要とする内容(悪意のあるコードなど)は自動的にクリップボードにコピーされます。続けて、ユーザーはコマンドラインまたはPowerShellターミナルを起動し、そこにクリップボードの内容を貼り付けてキーボードの「Enter」キーを押すよう促されます。こうして、被害者は自らの手で悪意のあるコードを実行する格好となり、ここから感染チェーンが開始されます。ClickFix攻撃の詳細についてはこちらの記事をご覧ください。

マルウェアに関する状況

Dr.Webアンチウイルス製品の検出統計によると、2025年に検出された脅威の合計数は2024年と比較して5.45%増加し、一方でユニークな脅威の数は15.89%減少しています。最も多く検出された脅威はさまざまな悪意のあるスクリプトとアドウェア型トロイの木馬となり、別の悪意のあるアプリを起動させるトロイの木馬も多く検出されました。また、AutoItスクリプト言語で書かれたトロイの木馬による攻撃も引き続き確認されています。このトロイの木馬は別のマルウェアと一緒に拡散されて、それらの検出を困難にするよう設計されています。

#drweb
VBS.KeySender.6
VBS.KeySender.7
mode extensionsразработчикарозробника というテキストを含むウィンドウを無限ループで検索し、Escapeキー押下イベントを送信してそれらを強制的に閉じる悪意のあるスクリプトです。
Trojan.BPlug.4242
WinSafeブラウザ拡張機能の悪意のあるコンポーネントの検出名です。このコンポーネントはブラウザに迷惑な広告を表示させるJavaScriptファイルです。
Trojan.Starter.8319
Trojan.Starter.8326
Trojan.Starter.8332
マルウェア Trojan.AutoIt.289 とそのコンポーネントを起動する悪意のあるXMLスクリプトの検出名です。
JS.Siggen5.44590
パブリックJavaScriptライブラリes5-ext-mainに追加される悪意のあるコードです。タイムゾーン設定がロシア国内のものになっているサーバーにパッケージがインストールされた場合に、特定のメッセージを表示します。
Trojan.Siggen30.53926
脅威アクターによって改変されたElectronフレームワークのホストプロセスの検出名です。Steamアプリケーションのコンポーネント(Steam Client WebHelper)に偽装し、JavaScriptバックドアをロードします。
JS.MalVpn.1
さまざまな悪意のあるプログラムによってC2サーバーへの接続に使用される悪意のあるスクリプトです。
Trojan.Siggen31.34463
感染したシステムにさまざまなマイニング型トロイの木馬やアドウェアをダウンロードするよう設計された、Go言語で記述されたトロイの木馬です。このマルウェアは %appdata%\utorrent\lib.dll に置かれるDLLファイルで、Torrentクライアント「uTorrent」のDLL検索順序ハイジャッキング(DLL Search Order Hijacking)脆弱性を悪用することで起動します。

2025年にメールトラフィック内で最も多く検出された脅威は、別のマルウェアをダウンロードしてインストールするトロイの木馬となっています。また、さまざまなバックドア、エクスプロイト、フィッシングドキュメント、そして悪意のあるスクリプトも拡散されました。

#drweb
W97M.DownLoader.2938
Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることもできます。
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4
Microsoft Officeソフトウェアの脆弱性を悪用し、攻撃者が任意のコードを実行できるようにするエクスプロイトです。
JS.Phishing.684
JS.Phishing.745
フィッシングページを生成する悪意のあるJavaScriptスクリプトです。
BackDoor.AgentTeslaNET.20
機密情報を窃取するよう設計されたスパイウェアです。ブラウザやメッセンジャー、メールクライアント、データベースなどといった多くのプログラムからログインIDとパスワードを収集して攻撃者に送信します。また、クリップボードの内容を盗み、キーロガー機能を備え、スクリーンショットを撮ることも可能です。
Win32.Expiro.153
Windows実行ファイルを感染させるファイルウイルスです。さまざまなプログラムのパスワードを窃取することを主な目的としています。
JS.DownLoader.1225
疑わしい名前のJavaScriptを含むZIPアーカイブのヒューリスティック検出名です。
Trojan.PackedNET.3223
パッカーで保護されたマルウェアの検出名です。
Trojan.AutoIt.1413
AutoItスクリプト言語で記述された悪意のあるアプリ Trojan.AutoIt.289 の、パックされたバージョンの検出名です。マイニング型トロイの木馬やバックドア、自己増殖型モジュールなど複数の悪意のあるアプリグループの一部として拡散されます。Trojan.AutoIt.289 はメインのペイロードの検出を困難にする、さまざまな悪意のある動作を実行します。

暗号化ランサムウェア

2025年には、ランサムウェア型トロイの木馬に感染したユーザーからDoctor Webのテクニカルサポートに寄せられるファイルの復号化リクエスト数に2024年と比較して35.98%の減少がみられました。以下のグラフは2025年におけるリクエスト数の推移を表しています。

#drweb

2025年に最も多く検出されたランサムウェア:

Trojan.Encoder.35534 (リクエストの23.22% )
Mimicとしても知られるランサムウェアです。Windowsコンピューター上のファイルを高速で検索できる正規ソフトウェア「Everything」の everything.dll ライブラリを使用します。
Trojan.Encoder.35209 (リクエストの3.33% )
ランサムウェアContiのソースコードを基にしたランサムウェア型トロイの木馬です。ChaCha20アルゴリズムを使用してファイルを暗号化します。脅威アクターのC2サーバー数台を停止させることに成功し、RSA暗号の秘密鍵が公開されたことで、現在ではこのトロイの木馬の一部の亜種によって暗号化されたファイルを復号化することが可能です。
Trojan.Encoder.35067 (リクエストの2.50% )
Macopとしても知られるランサムウェア型トロイの木馬です(Trojan.Encoder.30572 はこのトロイの木馬のまた別の亜種の1つです)。サイズは30~40KB程度と小さく、トロイの木馬にサードパーティの暗号化ライブラリが組み込まれておらず、暗号化とキーの生成にCryptoAPIのみを使用するということがその一因となっています。ファイルの暗号化にはAES-256アルゴリズムを使用し、キー自体はRSA-1024を使用して暗号化されます。
Trojan.Encoder.41868 (リクエストの2.31%)
そのアーティファクトから、ハッカー集団「C77L」が作成に関わっていることが示されているランサムウェアです。
Trojan.Encoder.29750 (リクエストの2.13% )
複数のバージョンを持つランサムウェア型トロイの木馬です。現在の亜種はAES-256+RSAアルゴリズムを使用してファイルを暗号化します。

インターネット詐欺

2025年には、メッセンジャーアプリTelegramのユーザーアカウントを盗むフィッシングサイトの増加がDoctor Webのインターネットアナリストによって確認されました。悪意のあるアクターは偽の認証画面や、利用規約違反について通知してアカウントの確認を行うよう求めるTelegramサポートを装った偽のメッセージなどといったさまざまな手口を用いています。

#drweb

利用規約違反について通知してTelegramアカウントの確認を行うよう求めるフィッシングサイトの例

ゲームプラットフォームやオンラインストアなど他のサービスのユーザーを標的にした同様のサイトも発見されています。これらの偽サイトは正規サイトとそっくりな外観で、アカウントにログインするようユーザーを誘導します。罠にかかったユーザーは機密情報を攻撃者に渡してしまうことになります。

#drweb

アカウント名とパスワードを入力するためのフィッシングフォームを表示させる、ゲームプラットフォーム「Steam」の偽サイト

あらゆる種類のギフトやボーナス、あるいは「お得なプロモーション」を提供する詐欺サイトも引き続きさまざまなものが出現しています。ロシアで多く見られたのは、賞品の抽選に参加できるとうたってユーザーを誘う偽のマーケットプレイスサイトでした。これらのサイトでは必ずユーザーが「当選」するようプログラムされており、当選後は賞品を受け取るためにまず税金を、そして次は送料、その次は保険料、などといった具合に次から次へと支払いを要求してきます。賞品の在庫がないため代わりに現金で受け取ることができるとユーザーに提案するバージョンも確認されていますが、この場合も同様に手数料や保険料などと称して支払いを要求されます。最終的に被害者が賞品を受け取ることはありません。

#drweb

「賞品の抽選」に参加できると誘う偽のマーケットプレイスサイトの例

同様の手口の1つに、英国のユーザーを標的とした公共交通機関の偽サイトがあります。交通系ICカードの「限定版」が当たるゲームに参加するようユーザーを誘うというもので、記念バージョンであるこれらの限定版ICカードを使用すれば対象となる公共交通機関を無料で利用できるとうたっています。ユーザーは必ず「当たり」を引くようになっていますが、獲得したカードを「受け取る」ために個人情報を提供して少額の手数料を支払うよう求められます。

#drweb

公共交通機関を装い、交通系ICカードが当たる抽選に参加するよう誘う詐欺サイト

金融関連の詐欺サイトも依然としてあらゆるものが横行しています。なかでも詐欺師の間で揺るがぬ人気を誇っているのが、独自のアルゴリズムや人工知能(AI)に基づく自動システムを活用した市場取引で利益を得ることができると主張する詐欺サイトです。あらゆる国のユーザーを標的としたものが観測されており、その多くは「リクエスト」申請や「アカウント」登録のためと称して個人情報を要求します。提供された情報は攻撃者の手に渡り、後に転売されたり、ユーザーをさらなる偽の投資サービスに誘い込み「取引」アカウントに入金するよう誘導したりする目的で使用される可能性があります。

#drweb

Apple 社と関連があるとうたい、AIを活用した「投資プラットフォーム」へのアクセスを提供する詐欺サイトの例

こうしたサイトのなかには、特定の企業の「バーチャルアシスタント」や「社員」を装った詐欺師との偽のチャットという似たようなテンプレートを使用するものが多くみられます。ユーザーはチャット内でいくつかの質問に回答して個人情報を提供するよう求められます。

#drweb

フランスのユーザーを標的としたサイトの1つ:架空の自動取引ソフトウェア「TraderAI」へのアクセスを提供し、このソフトウェアを使用することで3,500ユーロから始めて高額の収入を得ることができるとうたっている

メッセージングアプリTelegram 内で取引を行うことができる投資サービスを宣伝するサイトも確認されています。このサイトでは、グローバル企業の株を「スマートフォンのブラウザ内で直接」自動売買して月に1万ユーロを稼ぐことができると約束しています。

#drweb

株を自動売買するという「Telegramプラットフォーム」に参加するよう誘う詐欺サイト

Telegram、WhatsApp、TikTokなどの大手企業やサービスが開発に関わっているとする「取引ボット」を使用してお金を稼ぐことができると主張する詐欺サイトもありました。

#drweb

WhatsAppと関連があるとする架空の取引ボットを活用するようユーザーを誘うサイトの例

2025年を通して、ロシアやCIS(独立国家共同体)、欧州諸国を含む多くの国のユーザーを標的に石油・ガス部門への投資を勧める新たな詐欺サイトが発見されています。これらのサイトでも、多くの場合ユーザーは氏名や携帯電話番号、メールアドレスなどといった個人情報を提供するよう要求されます。

#drweb

キルギスのユーザーを標的に「石油・ガス取引で儲け」て大きな利益を得ることができると約束する詐欺サイト

給付金や補助金などの「政府支援」を約束する詐欺サイトも依然として後を絶ちません。ロシアのユーザーを標的としたものでは、ロシア政府ポータルサイト(Gosuslugi)と関連があるとうたう詐欺サイトが主流となっています。

#drweb

ロシア政府ポータルサイト(Gosuslugi)と関連があるとうたい、政府と大手石油・ガス会社からの安定した支払いを約束する詐欺サイトの例:この給付金プログラムに「参加」するためにユーザーは個人情報を提供するよう求められる

教育関連を装った詐欺サイトにも新たなものが出現しています。金融リテラシーを向上させたり、特定の職業のスキルを習得したりするためのさまざまな教育・トレーニングコースを提供するサイトが観測されました。他の手口と同様、これらのサイトでもユーザーはトレーニングに「アクセス」するために個人情報を提供するよう要求されます。

#drweb

英語学習を提供する詐欺サイト

2025年には、劇場チケットを販売するという新たな詐欺サイトが登場しました。こうしたサイトではチケットを割引価格で提供していますが、購入代金を支払ったユーザーがチケットを受け取ることはありません。

#drweb

存在しない劇場チケットを販売する詐欺サイトの1つ

そのほか、映画チケットを販売するプライベートシアターの偽サイトも多くみられるようになりました。これらのサイトでも支払った購入代金は詐欺師の手に渡り、被害者がチケットを受け取ることはありません。

#drweb

プライベートシアターの偽サイト

モバイルデバイス

Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)によって収集された検出統計によると、2025年には広告を表示させるトロイの木馬 Android.MobiDashAndroid.HiddenAds、そしてうたわれた機能を実行する代わりにさまざまなWebサイト(詐欺サイトや悪意のあるサイトを含む)を開く偽アプリ Android.FakeApp が最も多く検出されたAndroidマルウェアとなりました。サイバー犯罪者によってAndroidデバイスのファームウェアに埋め込まれる多機能トロイの木馬 Android.Triada の活動も増加しています。バンキング型トロイの木馬については、Android.Banker Android.Bankerによる攻撃が増加する一方で、Android.SpyMax の活動は減少しています。

2025年にも、マルウェア作成者は悪意のあるAndroidアプリを解析や検出から保護しようとあらゆるテクニックを駆使し続けています。そのうちの1つにDEXコードをCコードに変換するという手法がありました(DCCとも呼ばれます)。

最も多く検出された望ましくないアプリケーションは Program.FakeMoney となりました。これらはさまざまなタスクを完了することで仮想報酬を得ることができるとうたうアプリで、この報酬は現金化できるとされていますが実際にユーザーがお金を受け取ることはありません。また、Program.FakeAntiVirus.1Program.CloudInject.1 も多く検出されています。Program.FakeAntiVirus.1 はアンチウイルスの動作を模倣して存在しない脅威の検出を通知し、検出された問題を「修復」するために製品の完全版を購入するよう促すアプリです。Program.CloudInject.1 はクラウドサービスCloudInjectを使用して改造されたアプリで、その改造過程で危険なシステム権限や難読化されたコードが追加されます。その目的を改造者はコントロールすることができません。

最も多く検出されたリスクウェアはNP Managerユーティリティを使用して改造されたアプリとなりました(Tool.NPModとして検出)。NP Managerはアプリのコードを難読化し、改造後にデジタル署名の検証をすり抜けることを可能にします。最も多く検出されたアドウェアは、ユーザーの使用中に自動で広告リンクを開くWhatsApp MessengerのMod(改造版)Adware.ModAd.1 でした。

2025年には、Androidデバイスのファームウェア感染について新たな事例が確認されました。Doctor Webではそのうちの1例について4月に記事を公開しています。複数の安価なスマートフォンモデルのシステム領域内に、ユーザーから仮想通貨を盗むトロイの木馬 Android.Clipper.31 がプリインストールされていたというものです。また別のAndroidスマートフォンモデルのファームウェア内に危険なトロイの木馬 Android.Triada が埋め込まれているという事例もありました。そのほか、2024年にDoctor Webによって 発見された トロイの木馬 Android.Vo1d の新たな亜種によるAndroid TVボックスセットのファームウェア感染にも新たな事例が観測されています。

2025年を通して、Doctor Webのアンチウイルスラボではいくつもの危険なマルウェアを特定してきました。4月には、脅威アクターによって改変された地図アプリ「AlpineQuest」内に潜むトロイの木馬 Android.Spy.1292.origin について記事を公開しています。Android.Spy.1292.origin はロシアの軍関係者を標的としており、携帯電話番号とアカウント、電話帳の連絡先、デバイスの位置情報、デバイスのメモリ内に保存されているファイルに関する情報といった機密データをサイバー犯罪者に送信していました。また、攻撃者からコマンドを受け取った場合は特定のファイルを盗むこともできます。主に狙われていたのはユーザーがTelegramやWhatsApp経由で送信する機密文書、そしてAlpineQuestによって作成される位置情報ログファイルでした。

8月には、人気のメッセージングアプリのダイレクトメッセージ(DM)からアンチウイルスを装って拡散されていたバックドア Android.Backdoor.916.origin について記事を公開しました。Android.Backdoor.916.origin は機密情報を窃取し、攻撃者がユーザーをスパイすることを可能にします。その主たる標的はロシア企業の従業員でした。

10月には、メッセンジャーアプリTelegram Xの改変版に潜む多機能バックドア Android.Backdoor.Baohuo.1.origin が発見されました。このマルウェアは被害者のTelegramアカウントからログインIDとパスワード、着信SMS、チャット、クリップボードの内容などといった機密データを窃取します。さらに、Android.Backdoor.Baohuo.1.origin を使用することで攻撃者はハッキングしたアカウントとメッセンジャー自体の両方を完全に乗っ取ることが可能です。このバックドアの操作には従来の方法であるC2サーバー経由に加え、これまでAndroidマルウェアでは例を見ないRedisデータベース経由でのコマンド送信が使用されています。Android.Backdoor.Baohuo.1.origin の標的とされていたのは主にブラジルとインドネシアのユーザーでした。

2025年のモバイルデバイスを取り巻くセキュリティ脅威の状況についての詳細はこちらのレビューをご覧ください。

今後の動向と展望

2026年にも、サイバー犯罪者の違法な収益源であるアドウェア型トロイの木馬が最も多く検出される脅威の1つとして君臨し続けるでしょう。同じくサイバー犯罪者に利益をもたらすバンキング型トロイの木馬もますます多く使用されるようになると予想されます。

2026年には、パッカーや難読化ツール、悪意のあるドロッパーや多段階ダウンローダ、ペイロードを隠すためのステガノグラフィの使用をはじめとした、悪意のあるアクティビティを隠蔽するためのさまざまなツールや手法が一層広く用いられるようになる可能性があります。また、マルウェアの作成にAIアシスタントがますます多く活用されるようになるとみられます。これによりプログラミング経験の浅いサイバー犯罪者でもマルウェア生成が可能となり、新たなマルウェアファミリーの出現と脅威数の増加を引き起こすことになるでしょう。

政府機関や企業は引き続きサイバー犯罪者のターゲットとなり、標的型攻撃が増加するでしょう。AndroidスマートフォンやTVボックスセット、そしてその他モバイルデバイスのファームウェアが感染する新たな事例も発生する可能性が高いと考えられます。特に低価格帯のデバイスで気を付ける必要があります。インターネット詐欺は今後も横行するでしょう。

新着ニュース 全てのニュース