JP RU CN DE EN ES FR JP PL UA

2017年1月のモバイルマルウェア

2017年2月6日

株式会社Doctor Web Pacific


Doctor Webは、2017年1月におけるモバイルデバイスを狙った脅威についての総括をここに報告します。1月には、Play Storeの動作中のプロセス内に侵入し、Google Playアプリケーションを密かにダウンロードするAndroid向けトロイの木馬がDoctor Webのセキュリティリサーチャーによって発見されました。また、新たなAndroid向けバンキング型トロイの木馬が拡散され、Google Play上でランサムウェア型トロイの木馬が発見されています。


2017年最初の月には、Play Storeの動作中のプロセス内に侵入し、Google Playアプリケーションを密かにダウンロードするAndroid向けトロイの木馬がDoctor Webのセキュリティリサーチャーによって発見されました。続けて、Android向けバンキング型トロイの木馬のソースコードがオンライン上で一般に公開されていることが明らかになり、また別のAndroid向けバンキング型トロイの木馬も発見されています。このトロイの木馬は、現時点で未だAndroid版の発売されていないゲーム『Super Mario Run(スーパーマリオラン)』として拡散されています。そのほか、Androidスマートフォンやタブレットをロックする新たなランサムウェア型トロイの木馬がGoogle Play上で発見されました。

1月の主な傾向

1月のモバイル脅威

1月の初め、Play Storeの動作中のプロセス内に侵入し、Google Playアプリケーションを密かにダウンロードすることで、そのインストール数を密かに増やす機能を備えたトロイの木馬 Android.Skyfin.1.origin がDoctor Webのセキュリティリサーチャーによって発見されました。このトロイの木馬は次のような特徴を備えています:

この脅威に関する詳細についてはこちらの記事をご覧ください。

Dr.Web for Androidによる統計

The most common unwanted and potentially dangerous programs Dr.Web for Android #drweb

The most common unwanted and potentially dangerous programs Dr.Web for Android #drweb

Android向けバンキング型トロイの木馬

1月には、バンキング型トロイの木馬 Android.BankBot.140.origin が発見されました。このトロイの木馬は『Super Mario Run(スーパーマリオラン)』として拡散されています。このゲームは現在のところiOSデバイス版しか発売されていません。そこに目を付けたサイバー犯罪者は、この手法を用いることで『Super Mario Run(スーパーマリオラン)』に興味のあるAndroidユーザーがマルウェアをインストールするよう仕向けています。

Android.BankBot.140.origin はバンキングアプリケーションの起動を検知し、ユーザーのアカウントにアクセスするためのログインとパスワードを入力させる偽の入力フォームをその前面に表示させます。それだけでなく、Play Storeが起動された場合には、Google Playの決済サービスを模倣した偽のダイアログを表示させることでクレジットカード情報を盗もうと試みます。

bankbot140 #drwebbankbot140 #drwebbankbot140 #drweb

1月中旬には、そのソースコードがサイバー犯罪者によって一般に公開されていたバンキング型トロイの木馬 Android.BankBot.149.origin がDoctor Webのセキュリティリサーチャーによって発見されました。このトロイの木馬はオンラインバンキングアプリケーションや決済システムソフトウェアの起動を検知し、偽の入力フォームをその前面に表示させることで、銀行口座にアクセスするためのログインとパスワードをユーザーに入力させます。また、Play Storeの前面に偽のダイアログを表示させ、クレジットカードの情報を盗もうと試みます。

このトロイの木馬は受信するSMSを横取りし、それらを隠そうと試みます。そのほか、感染したデバイスのGPS位置情報を取得し、連絡先リストの情報を盗み、そのリスト上にある全ての番号に対してメッセージを送信することができます。この脅威に関する詳細についてはこちらの記事をご覧ください。

bankbot149 #drweb bankbot149 #drweb bankbot149 #drweb bankbot149 #drweb bankbot149 #drweb

Google Play上のトロイの木馬

1月、ランサムウェア型トロイの木馬 Android.Locker.387.origin がGoogle Play上で発見されました。このトロイの木馬には、検出をより困難なものにするための特殊なパッカーが使用されています。Dr.Web for Androidはそのパッカーを Android.Packed.15893 として検出することに成功しています。 Android.Locker.387.origin はバッテリーのパフォーマンスを最適化するプログラムEnergy Rescueとして拡散されていました。起動されると、このトロイの木馬はモバイルデバイスの管理者権限を要求し、感染させたスマートフォンやタブレットをロックして解除するための身代金を請求します。ただし、ロシア、ウクライナ、ベラルーシのユーザーは、このランサムウェアによる攻撃を受けていません。

Locker387 #drweb Locker387 #drweb Locker387 #drweb

Androidデバイスをロックするほか、 Android.Locker.387.origin は連絡先リストの情報と全てのSMSメッセージを盗みます。

サイバー犯罪者のAndroidデバイスに対する関心は依然として高いものとなっており、悪意のあるプログラムが多数作成されています。お使いのスマートフォンやタブレットを保護するため、Android向けトロイの木馬やその他のマルウェアを確実に検出することのできるDr.Web for Androidを使用することをお薦めします。