2025年のモバイルマルウェアレビュー

2026年1月22日

概要

2025年に最も多く検出されたAndroid向け脅威は、広告を表示させるトロイの木馬ならびに詐欺目的で使用される偽アプリとなりました。

最も多く検出された望ましくないアプリケーションは前年同様、ゲームのようなタスクを完了することで仮想報酬を得ることができるとうたうアプリでした。この報酬は現金化できるとされていますが、実際にユーザーがお金を手にすることはありません。

最も多く検出されたリスクウェアは、NP Managerツールを使用して改造されたアプリとなりました。このツールはアプリのコードを難読化して解析や検出から保護するだけでなく、改造後にデジタル署名検証を回避できるようにします。最も多く検出されたアドウェアは、ユーザーによる使用中に自動で広告リンクを開くWhatsApp Messengerの非公式改造版でした。

2025年には、さまざまなAndroidデバイスモデルのファームウェア内にマルウェアが埋め込まれる新たな事例が確認されました。Doctor Webではそのうちの1例について4月に記事を公開しています。安価なスマートフォンモデルのいくつかに、被害者から仮想通貨を盗むトロイの木馬 Android.Clipper.31 がプリインストールされていたというものです。

同じく春には、地図アプリ「AlpineQuest」の改変版に埋め込まれていたトロイの木馬 Android.Spy.1292.origin が発見されました。このマルウェアはロシアの軍関係者を標的としたサイバースパイ活動に使用されていました。

夏の終わりには人気のメッセンジャーを介して拡散されていたバックドア Android.Backdoor.916.origin について記事を公開しました。このバックドアはロシア企業の従業員をスパイして機密情報を収集することを目的としたものでした。

秋にはメッセンジャーアプリTelegram Xの改変版に埋め込まれた危険なバックドア Android.Backdoor.Baohuo.1.origin が発見されました。このマルウェアは脅威アクターが被害者のTelegramアカウントを乗っ取りユーザーに成り代わってメッセンジャーそのものを操作できるようにします。

Google Playでは2025年を通して180を超える脅威が発見され、そのダウンロード数は合計で216万5000回を超えています。それらの中にはユーザーを有料サービスに登録するさまざまなトロイの木馬や詐欺に用いられる偽アプリ、そして新たなアドウェアや望ましくないアプリが含まれていました。

2025年にもマルウェア作成者たちはAndroidマルウェアの解析を複雑化させたりアンチウイルスによる検出を回避したりするためにあらゆる手法を駆使し続けています。なかでも人気を集めている手法の1つがDEXコードをCコードに変換するというものです。さらに、マルウェアを作成する際のアプリのコード記述にAIアシスタントの助けを借りているケースもDoctor Webのウイルスアナリストによって確認されています。

2025年の最も注目すべきイベント

2025年4月、Doctor WebのエキスパートはAndroidデバイスユーザーから仮想通貨（暗号資産）を盗む大規模なキャンペーンを発見しました。攻撃者は中国の複数のサプライチェーンを侵害し、いくつかの低価格帯スマートフォンモデルのファームウェアにトロイの木馬 Android.Clipper.31 を仕込んでいました。 Android.Clipper.31 はメッセージングアプリWhatsAppに組み込まれており、このトロイの木馬化された改変版WhatsAppの作成には、コードに手を加えることなくアプリの動作ロジックを変更できる LSPatch ツールが使用されていました。

Android.Clipper.31 はWhatsApp内で送受信されるメッセージを傍受し、仮想通貨TronおよびEthereumのウォレットアドレス形式に一致する文字列を検出してそれらを攻撃者のアドレスに置き換えます。同時に、置き換えに気づかれることのないようユーザーに対しては正しいウォレットアドレスを表示させます。また、スクリーンショットとして保存されている、仮想通貨ウォレットへのアクセスを可能にするニーモニック（mnemonic）フレーズを見つけるためにすべての jpg、png、jpeg 画像を攻撃者に送信します。Android.Clipper.31 はWhatsAppの他にも数十のアプリに組み込まれており、これには広く使用されている仮想通貨ウォレットアプリやQRコードスキャナ、Telegramなどの他のメッセージングアプリが含まれています。改変されたこれらのアプリは悪意のあるWebサイトから拡散されていました。

2025年には、このようにAndroidデバイスのシステム領域にマルウェアがプリインストールされる事例について他にも新たなものが発見されています。その１例としてあげられるのが、悪意のあるグループによって危険なトロイの木馬 Android.Triada の新たなバージョンが複数の安価なスマートフォンのファームウェアに埋め込まれていたというものです。Android.Triada が危険な脅威とされるのは、システムのZygoteプロセスを感染させることができるためです。このプロセスはシステム内のすべてのアプリケーションの起動に直接関与しています。つまり、Zygoteプロセスを感染させることで Android.Triada はデバイス上のあらゆるアプリケーション内に侵入することができ、事実上完全にデバイスのコントロールを掌握することが可能になります。脅威アクターは Android.Triada を使用することで望ましくないアプリやアドウェアなどといった別のマルウェアをダウンロードしてインストールできるほか、被害者をスパイしたり、有料サービスに登録したりすることも可能です。そのほか、2024年にDoctor Webによって発見された トロイの木馬 Android.Vo1d の新たな亜種が関与するAndroid TVボックスのファームウェア感染にも新たな事例が確認されました。Android.Vo1d は感染させたデバイスのシステム領域に自身のコンポーネントを置くバックドアで、攻撃者のコマンドに応じてサードパーティソフトウェアを密かにダウンロードしてインストールする機能を備えています。

同じく4月、Doctor Webのアンチウイルスラボはロシアの軍関係者を標的にスパイウェア型トロイの木馬 Android.Spy.1292.origin を拡散する攻撃キャンペーンを発見しました。脅威アクターはこのトロイの木馬を地図アプリ「AlpineQuest」の一部のバージョンに埋め込み、作成した偽のTelegramチャンネルを公式と偽ってそこから拡散していました。そのほか、ロシアのAndroidアプリ配信サイトも拡散源となっています。

攻撃者がトロイの木馬 Android.Spy.1292.origin の潜んだ悪意のある改変版「AlpineQuest」を拡散するために使用していたTelegramチャンネル

Android.Spy.1292.origin は携帯電話番号とアカウント、電話帳の連絡先、デバイスの位置情報、デバイスのメモリ内に保存されているファイルに関する情報などといった機密データをサイバー犯罪者に送信していました。また、攻撃者からコマンドを受け取った場合は特定のファイルを盗むこともできます。主に狙われていたのはユーザーがTelegramやWhatsApp経由で送信する機密文書、そしてAlpineQuestによって作成される位置情報ログファイルでした。

8月、Doctor Webは人気のメッセージングアプリのダイレクトメッセージ（DM）を使用して拡散されていたバックドア Android.Backdoor.916.origin について記事を公開しました。被害者はメッセージに添付されたAPKファイルから「アンチウイルス」をインストールするよう促されますが、実際にはこのファイルにマルウェアが潜んでいます。Doctor Webのアンチウイルスラボは2025年1月に Android.Backdoor.916.origin の最初のバージョンを発見し、それ以来その活動を監視してきました。このことが、今回の新たなキャンペーンの迅速な特定につながりました。

アンチウイルスの動作を模倣してユーザーを欺くAndroid.Backdoor.916.origin

Androidデバイスにインストールされると、Android.Backdoor.916.origin は攻撃者が機密情報を窃取しユーザーをスパイすることを可能にします（会話を盗聴する、デバイスのカメラからブロードキャストする、位置情報を追跡する、メッセンジャーやブラウザから内容を盗むなど）。さらに、Android.Backdoor.916.origin はキーロガー機能も備えており、入力されたテキスト（パスワードなど）を傍受します。このバックドアは不特定のAndroidユーザー間での大量拡散を狙ったものではなく標的型攻撃を目的に設計されているものと考えられ、その主たる標的はロシア企業の従業員でした。

10月、Doctor WebはメッセンジャーアプリTelegram Xの改変版に潜む多機能バックドア Android.Backdoor.Baohuo.1.origin を発見しました。主な拡散源はユーザーがアプリ内広告からリダイレクトされる悪意のあるWebサイトです。これらのサイトでユーザーはチャットやデートの相手を見つけるための便利なアプリとして紹介されているTelegram Xをインストールするよう勧められます。標的とされていたのは主にブラジルとインドネシアのユーザーでした。拡散源は悪意のあるサイトだけではなく、サードパーティアプリストアでも Android.Backdoor.Baohuo.1.origin が検出されています。

トロイの木馬化されたバージョンのTelegram Xがダウンロードされていた悪意のあるサイトの1つ

Android.Backdoor.Baohuo.1.origin の実行するタスクの1つが機密データの窃取で、被害者のTelegramアカウントからログインIDとパスワード、チャット履歴、着信SMS、電話帳の連絡先を盗むほか、クリップボードの内容を傍受します。しかしながら、Android.Backdoor.Baohuo.1.origin は単にスパイウェアとして機能するだけではありません。Android.Backdoor.Baohuo.1.origin を使用することで脅威アクターはハッキングしたアカウントとメッセンジャー自体の両方を乗っ取り、さまざまな操作を実行することが可能です。たとえば、ユーザーを密かにTelegramチャンネルに追加・削除したり、ユーザーに成り代わってチャットへの参加・退出を行ったり、アカウントの認証済みデバイスを非表示にしたりできます。Telegram Xの動作ロジックを変更する必要のあるアクションを実行する場合には、Xposedフレームワークが使用されます。バックドアの操作には従来の方法であるC2サーバー経由に加え、これまでAndroidマルウェアでは例を見ないRedisデータベース経由でのコマンド送信が使用されています。合計で58,000台を超えるデバイスが Android.Backdoor.Baohuo.1.origin に感染しており、これにはおよそ3千の異なるモデルのスマートフォンやタブレット、TVボックスセット、そしてAndroidベースの車載OSを搭載した自動車が含まれていました。

Android.Backdoor.Baohuo.1.origin に感染したデバイス数の多い国

統計

Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）によって収集された検出統計によると、2025年に最も多く検出されたAndroid脅威はさまざまな悪意のあるプログラムで、検出された脅威全体の81.11%を占めました。次いでリスクウェアが10.73%を占めて2位となり、アドウェアが5.89%を占めて3位につけました。最も検出数の少なかったのは望ましくないアプリで、2.27%を占めて最下位となっています。

2024年比での全検出数に占める割合は、悪意のあるプログラムとリスクウェアで増加し、望ましくないアプリとアドウェアでは減少しています。

以下のグラフは、脅威の内訳を種類別に表したものです。

悪意のあるプログラム

最も多く検出されたマルウェアの座はここ数年にわたって Android.HiddenAds ファミリーに属する広告を表示するトロイの木馬が占めており、2025年にもこの状況に変化はみられませんでした。ただし、マルウェア検出数全体に占める Android.HiddenAds の割合は31.95%から27.42%へとわずかに減少しています。

これらトロイの木馬は全画面（フルスクリーン）バナーや動画という形で迷惑な広告を表示させます。また、ユーザーによる検出や削除から逃れるため、インストールされた後に自身の存在を隠そうとします（ホーム画面の自身のアイコンを隠したり置き換えたりするなど）。

Android.HiddenAds ファミリーの中で最も多く検出されたのは Android.HiddenAds.657.origin で、同ファミリー検出数全体の3分の1以上を占めています。このトロイの木馬は2021年から知られている Android.HiddenAds.1994 の数ある亜種の1つで、2024年にDoctor Webウイルスアナリストの目を引き、2025年ついにトップに躍り出ました。2025年には Android.HiddenAds.666.origin や Android.HiddenAds.673.origin など、Android.HiddenAds.1994 の新たな亜種もいくつか拡散されています。他の亜種がそうであったように、これらの亜種もいずれ上位に進出してくる可能性があります。

Android.HiddenAds のサブファミリーであるAegisも引き続き検出されていますが、ファミリー検出数全体に占める割合は17.37%から3.11%へと大幅に減少しています。これらトロイの木馬はインストール後自動的に起動することができます。最も多く検出された亜種は Android.HiddenAds.Aegis.1 と Android.HiddenAds.Aegis.8.origin でした。

2番目に多く検出されたマルウェアはアドウェア型トロイの木馬 Android.MobiDash で、マルウェア検出数全体に占める割合は5.38%から15.64%に増加しました。最も多く検出された亜種は Android.MobiDash.7859 となっています。3番目に多く検出されたマルウェアは、サイバー犯罪者によってさまざまな詐欺スキームに用いられる偽アプリ Android.FakeApp でした。Android.FakeApp はうたわれた機能を実行する代わりにさまざまなサイトを開きます。マルウェア検出数全体に占める割合は2024年の18.28%から減少し10.94%となりました。この減少の一因となっているのが、オンラインカジノのサイトを開くことを主な目的としたトロイの木馬 Android.FakeApp.1600 の活動低下です。ただし、この Android.FakeApp.1600 は依然として Android.FakeApp ファミリーの中で最も多く拡散されている亜種となっています。

多様なスパイウェア機能を備えたトロイの木馬 Android.Spy ファミリーの、マルウェア検出数全体に占める割合は11.52%から3.09%へと減少しました。一方、バンキング型トロイの木馬の活動は増加し、その検出数が占める割合は6.29%から6.94%に増加しています。

マルウェアを検出や解析から保護するために使用されるソフトウェアパッカーの検出数は5.49%から6.01%へと増加しました。最も多く検出されたのは Android.Packed.57146 でパックされた悪意のあるアプリでした。

WhatsApp MessengerのさまざまなMod（改造版）も多く拡散され、その中にはユーザーに気づかれず密かにWebサイトを開くという亜種もありました（Dr.Webによって Android.Click.1812 として検出）。多機能トロイの木馬 Android.Triada ファミリーの活動も増加し、2.74%から7.48%となりました。これはサイバー犯罪者によってAndroidデバイスのファームウェアに埋め込まれるトロイの木馬です。

以下のグラフは2025年に最も多く検出された上位10のマルウェアです。

Android.HiddenAds.657.origin

Android.HiddenAds.4214

Android.HiddenAds.655.origin

Android.HiddenAds.4213

Android.HiddenAds.666.origin

迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自らの存在をユーザーから隠そうとします（ホーム画面からアイコンを「隠す」など）。

Android.MobiDash.7859

迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

Android.FakeApp.1600

設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。

Android.Click.1812

さまざまなWebサイトをバックグラウンドで密かに読み込むことができる、悪意のあるWhatsApp Messenger Mod（改造版）の検出名です。

Android.Packed.57146

一般的な商用のコード難読化ツールを使用してパックされた悪意のあるアプリの検出名です。

Android.Triada.5847

Android.Triada トロイの木馬を検出や解析から保護するよう設計されたパッカーの検出名です。多くの場合、このパッカーは Android.Triada が埋め込まれた悪意のあるTelegramメッセンジャーMod（改造版）と一緒に用いられます。

望ましくないアプリケーション

2025年に最も多く検出された望ましくないアプリケーションは51.96%を占めて再び Program.FakeMoney.11 となりました。これらはさまざまなタスクを完了することで仮想報酬を得ることができるとうたうアプリです。この報酬は現金化できるとされていますが、実際にはユーザーがお金を受け取ることはありません。同様のアプリである Program.FakeMoney.14 や Program.FakeMoney.16 も広く拡散されましたが、その検出数ははるかに少ないものとなっています。

アンチウイルスの動作を模倣して存在しない脅威の検出を通知し、検出された問題を「修復」するために製品の完全版を購入するよう促すアプリ Program.FakeAntiVirus.1 が10.37%を占めて2位につけました。

3位となったのはクラウドサービスCloudInjectを使用して改造されたアプリケーション Program.CloudInject.1 で、6.41%を占めています。その亜種である Program.CloudInject.5 が5.08%を占めて Program.CloudInject.1 に迫り、4位となりました。これらのアプリケーションの改造はリモートサーバー上で直接行われます。CloudInjectサービスへのアクセスはユーティリティTool.CloudInject によって提供されますが、これはCloudInjectサービスを使用するためのシェルにすぎません。アプリケーションには改造過程で危険な権限や難読化されたコードが追加され、そのうえ、改造後のアプリは改造者がCloudInjectサービスを介してリモートで管理できるようになります（アプリをロックし、使用を継続するためにコード入力を要求するなど）。

ユーザーを監視し、そのアクティビティをコントロールするために使用できるアプリの検出数はわずかに増加しています。こうしたアプリは悪意のあるアクターが手にした途端にスパイウェアと化します。Program.TrackView.1.origin とその亜種である Program.TrackView.2.origin はそれぞれ2.40%から2.91%、0.21%から0.97%へと増加しました。Program.SecretVideoRecorder.1.origin は2.03%から2.56%、その亜種である Program.SecretVideoRecorder.2.origin —は0.90%から1.02%に増加し、そして Program.SnoopPhone.1.origin は0.31%から1.01%に増加しています。

以下のグラフは2025年に最も多く検出された上位10の望ましくないアプリケーションです。

Program.FakeMoney.11

Program.FakeMoney.14

さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために（多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます）、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。

Program.FakeAntiVirus.1

アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。

Program.CloudInject.1

Program.CloudInject.5

クラウドサービスCloudInjectと、同名のAndroidユーティリティ（Tool.CloudInject としてDr.Webウイルスデータベースに追加されています）を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造者はアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後のアプリは改造者がリモートで管理できるようになります（アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど）。

Program.TrackView.1.origin

Program.TrackView.2.origin

Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にしたり、アプリのアイコンと表示名を偽のものに置き換えたりすることができ、密かに動作することが可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。

Program.SnoopPhone.1.origin

Androidユーザーのアクティビティを監視するよう設計されたアプリケーションです。このアプリを使用することで、第三者がSMSを読む、通話に関する情報を収集する、デバイスの位置を追跡する、周囲の音声を録音することが可能になります。

リスクウェア

2025年に最も多く検出されたリスクウェアは、NP Managerユーティリティを使用して改造されたアプリとなりました。NP Managerはアプリを改造するために設計されたツールで、アプリのコードを難読化して保護するためのモジュールや、改造後にデジタル署名検証をすり抜けるためのモジュールが実装されています。多くの場合、脅威アクターは悪意のあるアプリケーションを保護しアンチウイルスによる検出をより困難なものにするためにこのツールを使用します。これらアプリの検出数は2024年の24.52%から53.59%へと増加し、2025年にはリスクウェア検出数全体の半数以上を占めています。最も多く検出された亜種は Tool.NPMod.3（32.85%）、Tool.NPMod.1（12.61%）、Tool.NPMod.1.origin（3.02%）、Tool.NPMod.4（2.31%）でした。

プログラミング言語Luaを使用してAndroidアプリを開発するためのフレームワークである Tool.Androlua の検出数は3.93%から8.11%に増加しました。このようなフレームワークはアクセシビリティサービス（ユーザー補助機能）の使用を含む多くのシステム権限を要求します。Tool.Androlua フレームワークを使用して作成されたアプリは、実行直前に復号化される暗号化されたLuaスクリプトをベースにしており、こうしたスクリプトは悪意のあるものとなりえます。ツール Tool.LuckyPatcher を使用して改造されたアプリの検出数も8.16%から10.06%に増加しています。このツールは特別なスクリプトをインターネットからダウンロードすることにより、Androidデバイスにインストールされているアプリを改変します。

一方、Androidアプリをインストールせずに実行できるようにするユーティリティ Tool.SilentInstaller は33.10%から10.55%に減少しました。最も多く検出された亜種は Tool.SilentInstaller.14.origin（4.66%）、Tool.SilentInstaller.6.origin（2.07%）、Tool.SilentInstaller.7.origin（1.88%）となっています。また、パッカーTool.Packer.1.origin によって保護されたアプリの検出数も13.17%から2.58%へと減少しています。

以下のグラフは2025年に最も多く検出された上位10のリスクウェアです。

Tool.NPMod.3

Tool.NPMod.1

Tool.NPMod.1.origin

Tool.NPMod.4

NP Managerユーティリティを使用して改造されたAndroidアプリの検出名です。NP Managerにはアプリのコードを難読化して保護するためのモジュールや、改造後にデジタル署名の検証をバイパスするためのモジュールが実装されています。多くの場合、難読化はマルウェアの検出や解析をより困難にする目的で行われます。

Tool.Androlua.1.origin

スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。

Tool.LuckyPatcher.2.origin

Tool.LuckyPatcher.1.origin

Androidデバイスにインストールされたアプリを改変できるようにする（パッチを作成する）ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。

Tool.SilentInstaller.14.origin

アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。

Tool.Packer.1.origin

Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。

アドウェア

2025年に最も多く検出されたアドウェアは、Adware.ModAd.1 として検出されるWhatsApp MessengerのMod（改造版）でした。この改造版には使用中にリンクを開く機能が追加されており、ユーザーはそれらのリンクから広告サイトへとリダイレクトされます。アドウェア検出数全体に占める Adware.ModAd.1 の割合は2024年の47.45%から26.90%に減少しています。

Androidアプリに組み込まれて広告を含んだ通知を表示させるモジュール Adware.Adpush が、14.76%から26.19%へとシェアを伸ばして2位にランクインしました。3位となったのは2024年とほぼ変わらず8.88%を占めた Adware.Basement ファミリーです。Adware.Basement は悪意のあるサイトにつながる広告を表示させます。

そのほか、Adware.Airpush（4.35%から5.14%に増加）、Adware.Fictus（3.29%から6.21%に増加）、Adware.Youmi（1.62%から2.91%に増加）、Adware.Leadbolt（2.26%から2.41%に増加）、Adware.Jiubang（1.70%から2.38%に増加）ファミリーに属するアドウェアも多く検出されています。

以下のグラフは2025年に最も多く検出された上位10のアドウェアです。

Adware.ModAd.1

その機能に特定のコードが挿入されている、WhatsApp MessengerのMod（改造版）です。このコードはメッセンジャーの動作中にWebコンテンツを表示（Android WebViewコンポーネントを使用して）させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。

Adware.AdPush.3.origin

Adware.Adpush.21846

Adware.AdPush.39.origin

Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのファミリーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。

Adware.Basement.1

迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。

Adware.Fictus.1.origin

人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールで、その際にnet2shareパッカーが使用されます。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。

Adware.Airpush.7.origin

Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのファミリーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。

Adware.Youmi.4

Androidデバイスのホーム画面に広告ショートカットを追加する、望ましくないアドウェアモジュールの検出名です。

Adware.Jiubang.1

Androidデバイス向けの望ましくないアドウェアで、アプリケーションのインストール時に特定のプログラムを宣伝するバナーを表示させます。

Adware.Inmobi.1

InmobiのアドウェアSDKの一部バージョンの検出名です。電話をかけたり、Android デバイスのカレンダーにイベントを追加したりできます。

Google Play上の脅威

2025年、Doctor WebのアンチウイルスラボはGoogle Playで180を超える悪意のあるアプリ、望ましくないアプリ、アドウェアアプリを発見しました。これらのアプリは合計で216万5040回以上ダウンロードされています。その中には、感染させたデバイス上で自身の存在を隠し、システムインターフェースや他のプログラムの上に重ねて広告を表示させるトロイの木馬 Android.HiddenAds.4213 と Android.HiddenAds.4215 のさまざまな亜種が含まれており、画像編集ツールや写真・動画を撮影するためのカメラアプリなどを装って拡散されていました。

アプリ「Time Shift Cam」と「Fusion Collage Editor」は Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬だった

仮想通貨を盗むよう設計されたトロイの木馬 Android.CoinSteal.202、Android.CoinSteal.203、Android.CoinSteal.206 も発見されています。これらは仮想通貨取引所Dydxの公式アプリや、ブロックチェーンプラットフォームRaydiumとAerodrome Financeの公式アプリを装って拡散されていました。

「Raydium」と「Dydx Exchange」に偽装した、仮想通貨を盗むトロイの木馬

これら悪意のあるアプリは、起動されると仮想通貨ウォレットにアクセスするためと称してニーモニックフレーズを入力するようユーザーに求めます。実際には、入力されたデータは攻撃者に送信されます。なかには、別の仮想通貨プラットフォームからの要求を装った入力フォームが表示される場合もありました。

仮想通貨取引所PancakeSwapを装ったフィッシングフォームを表示させ、仮想通貨ウォレットにアクセスするためのニーモニックフレーズを入力するようユーザーに要求する Android.CoinSteal.206

2025年を通して、80を超える悪意のある Android.Joker アプリが発見されています。これらはユーザーを有料サービスに登録するトロイの木馬で、メッセンジャーや写真アプリ、システムツール、画像編集アプリ、ドキュメント管理アプリなどといったさまざまなアプリを装って拡散されていました。

発見された Android.Joker トロイの木馬の例：Android.Joker.2494 はメッセンジャー「File Text Messages」を装って拡散され、Android.Joker.2496 はスマートフォンの動作を最適化するユーティリティ「Useful Cleaner」に偽装していた

さまざまな詐欺スキームに用いられる Android.FakeApp 偽アプリも引き続きあらゆるものが拡散されています。これらトロイの木馬の主な目的はWebサイトを開くことです。その一部は金融関連アプリに偽装して、フィッシングサイトや、投資またはオンライン収入関連を装った詐欺サイトを開きます。また別の一部はゲームを装って拡散されていました。このタイプの Android.FakeApp は特定の条件下でゲームとして機能する代わりにオンラインカジノやブックメーカーのサイトを開く場合があります。Google Playでは100を超えるそのようなアプリが発見されています。

Android.FakeApp 偽アプリの例：トルコのユーザーを標的とした預金や収入を管理できるとうたうアプリ「TPAO」に潜んだトロイの木馬 Android.FakeApp.1863 と、ゲーム「Pino Bounce」を装って拡散されオンラインカジノのサイトを開く場合のあるトロイの木馬 Android.FakeApp.1840

新たなアドウェアもDoctor Webのウイルスアナリストによって発見されています。Adware.Adpush.21912 と名づけられたアドウェアは仮想通貨に関する情報を提供するアプリ「Coin News Promax」に隠されていました。 Adware.Adpush.21912 は通知を表示させ、その通知がクリックされるとС2サーバーによって指定されたリンクをWebView内で開きます。

Google Playで提供されているアプリ「Coin News Promax」にはアドウェア Adware.Adpush.21912 が潜んでいた

そのほか、望ましくないアプリケーション Program.FakeMoney.16 も発見されました。Program.FakeMoney.16 は「Zeus Jackpot Mania」というアプリを装って拡散されており、このアプリでユーザーはゲームをプレイして仮想報酬を獲得し、現金化して引き出すことができるとされています。

「Zeus Jackpot Mania」は望ましくないアプリケーション Program.FakeMoney.16 だった

ユーザーは現金を「引き出す」ためにいくつか情報を提供するよう要求されますが、最終的にお金を受け取ることはありません。

ユーザーに氏名と銀行口座情報を提供するよう求める Program.FakeMoney.16

バンキング型トロイの木馬

Dr.Web Security Space for mobile devices（モバイルデバイス 向けDr.Web Security Space）によって収集された検出統計によると、2025年に検出されたバンキング型トロイの木馬のマルウェア検出数全体に占める割合は2024年の6.29%をわずかに上回る6.94%となりました。その活動は第1四半期を通じてほぼ横ばいで推移しましたが、第2四半期の初めには大幅な増加がみられました。その後は緩やかに減少に転じ、7月に年間最低数を記録しています。8月を境に再び増加に転じ、10月にピークに達した後、2025年の終わりには再び減少が確認されています。

2025年にも、よく知られたバンキング型トロイの木馬のファミリーが再び攻撃に使用されました。なかでも活発に拡散されていたのが、Android.Banker.Mamont、Coper、Android.BankBot.Ermac などです。そのほか、NGate トロイの木馬の新たなバージョンも発見されています。これはNFC技術を悪用して金銭を窃取するトロイの木馬で、感染させたデバイスのNFCチップからデータを攻撃者に送信することにより、ATMで被害者の口座から勝手にお金を引き出したり、非接触型決済（タッチ決済）で被害者の関与なしに不正に支払いを行ったりできるようにします。最も多く検出された亜種は、Android.Banker.NGate.8、Android.Banker.NGate.17、Android.Banker.NGate.5.origin でした。

スパイウェア機能を備えた Android.SpyMax も引き続き拡散されています。Android.SpyMax はRAT（リモートアクセス型トロイの木馬）であるSpyNoteの流出したソースコードをベースにしたトロイの木馬で、スパイウェアとしてのみでなくバンキング型トロイの木馬としても使用されています。ただし、バンキング型トロイの木馬の検出数全体に占める Android.SpyMax の割合は2024年の32.04%から12.35%へと減少しており、活動には低下がみられます。

2025年にロシアのユーザー間で最も多く拡散されたバンキング型トロイの木馬は広範なMamontファミリーに属するもので（Android.Banker.790.origin、Android.Banker.Mamont.3.origin、Android.Banker.Mamont.28.origin など）、これにはマルウェア作成者が意欲的に改変や開発を続けている多種多様な悪意のあるアプリが含まれています。これらのアプリはクレジットカード会社からのワンタイムコードを含んだSMSを傍受し、バンクカード情報などの機密情報を窃取します。

ウズベキスタンとその近隣諸国（アルメニア、アゼルバイジャン、キルギス共和国）のユーザーを標的としたバンキング型トロイの木馬の活動も観測されました。最も多く検出されたのは、銀行から送信されるSMSから認証コードを盗む Android.Banker.951.origin、Android.Banker.881.origin、Android.Banker.963.origin などのトロイの木馬です。これらトロイの木馬は、より検出されにくくなるよう常に改良され続けています。トルコのユーザーを襲ったバンキング型トロイの木馬の中で最も多く検出されたのも、同じくSMSの内容を盗むトロイの木馬 Android.BankBot.Coper.12.origin、Android.Banker.5685、Android.Banker.864.origin でした。

イランのユーザーは Android.BankBot.1190.origin や、Android.BankBot.1191.origin とその亜種による攻撃を受けました。これらバンキング型トロイの木馬は、被害者のバンクカード、口座、残高、取引などといった金融情報をSMSから盗み出し、攻撃者に送信します。また、電話帳から連絡先情報を収集し、攻撃者から受け取るコマンドに従ってSMSを送信する機能も備えています。

インドネシアや韓国を含む東南アジアおよびアジア太平洋地域の多くの国では Android.BankBot.Remo.1.origin による攻撃が観測されました。このトロイの木馬はAndroidのアクセシビリティサービス（ユーザー補助機能）を悪用して、感染させたデバイスにインストールされている銀行アプリや仮想通貨ウォレットからデータを窃取します。韓国のユーザーはこのRemoトロイの木馬に加えて Android.BankBot.15140、Android.BankBot.Ermac.6.origin、そして GoldDigger（Android.BankBot.GoldDigger.9、Android.BankBot.GoldDigger.11）による攻撃も受けました。

GoldDiggerはインドネシアとタイのユーザーに対する攻撃にも使用されています。インドネシアとマレーシアのユーザーはバンキング型トロイの木馬 Android.BankBot.Gigabud.1.origin の標的となりました。日本では引き続きトロイの木馬MoqHaoファミリーが拡散され、なかでも Android.Banker.672.origin、Android.Banker.5063、Android.Banker.740.origin といった亜種が多く検出されています。

インドのユーザーを襲ったバンキング型トロイの木馬の1つは Android.Banker.6209 でした。このトロイの木馬は正規銀行アプリの外観を模倣して、被害者の氏名、バンクカード番号、セキュリティコード（CVV）などの情報を窃取します。また、Android.Banker.814.origin や Android.Banker.913.origin、Android.Banker.5132 などのRewardStealバンキング型トロイの木馬も依然として活発です。これらはインドの大手金融機関（ICICI銀行、SBI、アクシス銀行、PM Kisanなど）と関連があるように見せかけたアプリに偽装して被害者の金融情報を盗むトロイの木馬です。

ブラジルでは、Android.BankBot.1183.origin のほか、Android.Banker.NGate.8、Android.Banker.NGate.9、Android.Banker.NGate.14 などのNGateファミリーに属するバンキング型トロイの木馬が最も多く拡散されました。

2025年にも、マルウェア作成者はAndroid向けバンキング型トロイの木馬を解析や検出から保護しようとあらゆるテクニックを駆使し続けています。とりわけ人気なのが、「DEX to C（実行可能DEXコードをC言語コードに変換する）」などの、コードを難読化したり隠したりする手法です。NP Managerユーティリティを使用して悪意のあるアプリを難読化する手法も広く用いられています。

AndroidのAPKファイルである ZIPアーカイブの形式に手を加える手口も根強い人気を誇っています。これには、APKファイルのローカルファイルヘッダ内のフィールド compression method と compressed size を改変するという方法や、ECDR（End of Central Directory Record：中央ディレクトリの終わりレコード）とCD（ファイルやアーカイブパラメータに関するデータが格納される中央ディレクトリ）内のディスクに関する情報を誤ったものにするという方法などがあります。これらの手法に関しては2024年のモバイルマルウェアレビュー内「バンキング型トロイの木馬」セクションにて詳述しています。こうした改変が加えられた後もトロイの木馬アプリは変わらず完璧に動作しますが、多くの静的解析ツールはそれらを破損したものと認識してしまうため正しく処理できなくなります。

Google Playのプロテクト機能回避などを目的に、メインのペイロードを隠蔽するためのドロッパーが使用されるケースも増えています。また、バンキング型トロイの木馬のコード記述にAIアシスタントが利用されるようになっており、このことがマルウェアの開発を簡易化し、新たなファミリーの出現に拍車をかけています。そのほか、バンキング型トロイの木馬の操作と感染させたデバイスからのデータの盗み出しにTelegramボットが使用されるケースも目立つようになっています。

今後の動向と展望

2025年には、依然として最も多く検出されるAndroid脅威である広告を表示するトロイの木馬の活動が活発化し、フィッシングや金銭窃取などの詐欺目的で使用されるさまざまな偽アプリも再び広く拡散されました。バンキング型トロイの木馬による攻撃も増加の一途をたどっています。これら悪意のあるアプリはサイバー犯罪者にとっての不正な収益源であることからその人気はいまだ衰えを知らず、2026年にも引き続き最も多く使用されるツールの1つとなる可能性が極めて高いでしょう。また、バンキング型トロイの木馬の操作にTelegramボットを使用するケースが増えてきており、この傾向は今後も続くものと考えられます。

スマートフォンやTVボックスセットのファームウェア内でトロイの木馬ファミリー Android.Vo1d と Android.Triada の新たな亜種や、Android.Clipper.31 が発見される事例もありました。このことから、攻撃者は検出を極めて複雑で困難なものにするような方法でマルウェアを拡散することに引き続き熱意を注いでいるということが見てとれます。この傾向は2026年も続き、スマートフォン、TVボックスセット、そしてその他さまざまなAndroidデバイスにマルウェアがプリインストールされる新たな事例が発生するものと予想されます。

より広範なタスクを実行できる一層高度かつ精巧なマルウェアが登場することも予測され、これには新たなバックドアやさまざまなスパイウェア型トロイの木馬が含まれるでしょう。Google Playなどの公式アプリストアは今後もマルウェアや望ましくないアプリの拡散源として悪用される可能性が高いと考えられます。

2026年にも、攻撃者は作成したツールを保護するためのあらゆる技術を引き続き積極的に組み込んでくるものと予想されます。コードの記述にAIアシスタントを活用するケースも増加するものとみられ、新たなファミリーの出現を助長する要因となるでしょう。

Doctor Webではモバイルデバイスを狙うサイバー脅威の進化と状況を監視し続け、新たな脅威の出現に迅速に対応してまいります。悪意のあるプログラムや危険なプログラムからお使いのデバイスを守るため、Dr.Web Security Space for mobile devices（モバイルデバイス向けDr.Web Security Space）をインストールすることをお勧めします。

Indicators of compromise（セキュリティ侵害インジケーター）