Doctor Webは、2017年5月におけるモバイルデバイスを狙った脅威についての総括をここに報告します。5月には、別のプログラムをダウンロードし、感染させたデバイスに関する情報をサイバー犯罪者に送信するトロイの木馬がGoogle Play上で発見されました。Google Play上では、また別のトロイの木馬が組み込まれたアプリケーションも発見されています。このトロイの木馬は追加のコンポーネントをダウンロード・起動し、広告を表示させます。そのほか、5月にはユーザーの口座から金銭を盗むバンキング型トロイの木馬の拡散もありました。

2017年5月には、Android向けの新たなトロイの木馬が複数Google Play上で発見されました。そのうちの1つはインターネットからアプリケーションをダウンロードし、機密情報を盗むよう設計されたトロイの木馬で、また別の1つは追加のプログラムモジュールをダウンロード・起動し、迷惑な広告を表示させるものでした。また、5月にはユーザーの口座から金銭を盗むバンキング型トロイの木馬も拡散されています。

5月の主な傾向

Google Play上でトロイの木馬を発見
Android向けバンキング型トロイの木馬の拡散

5月のモバイル脅威

5月の初め、オーディオプレイヤーに組み込まれた Android.RemoteCode.28 がGoogle Play上で発見されました。このトロイの木馬はインターネットから他のアプリケーションをダウンロードし、感染させたデバイスに関する情報やインストールされているソフトウェアに関するデータをC&Cサーバーに送信します。

Android.RemoteCode.28 は以下の特徴を備えています:

Android.RemoteCode.28 のメインとなる悪意のある機能は暗号化された追加のモジュール内に組み込まれています。
Android.RemoteCode.28 は起動から8時間後に初めて悪意のある動作を開始します。
Android.RemoteCode.28 はエミュレータとデバッグツールの有無を確認し、それらを検出した場合は自身の動作を終了します。

Dr.Web for Androidによる統計

Android.HiddenAds.83.origin

Android.HiddenAds.76.origin

Android.HiddenAds.68.origin: モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
Android.Sprovider.9: ステータスバーに広告を表示させ、悪意のあるものを含む別のアプリケーションをダウンロード・インストールするよう設計されたAndroid向けトロイの木馬です。
Android.Triada.264.origin: 様々な悪意のある動作を実行する、マルチコンポーネントトロイの木馬です。

Adware.Jiubang.1

Adware.Batmobi.2.origin

Adware.Leadbolt.12.origin

Adware.Airpush.31.origin

Adware.Appsad.1: Androidアプリケーション内に組み込まれた望まないプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させます。

Google Play上のトロイの木馬

5月中旬、トロイの木馬 Android.Spy.308.origin の組み込まれたアプリケーションがGoogle Play上で発見されました。このアプリケーションはSumifi Devというデベロッパーによって配信されているものです。Android向けの公式ソフトウェアカタログ内に悪意のあるプログラムが侵入した例はこれが初めてではありません。Doctor Webでは、2016年7月に同じような事例を紹介しています。 Android.Spy.308.origin が発見された後、感染したアプリケーションはデベロッパーによってアップデートされ、トロイの木馬のコンポーネントは削除されました。現在では当該アプリケーションは無害化されています。

Android.Spy.308.origin は迷惑な広告を表示させ、追加のモジュールを密かにダウンロード・起動させます。また、機密情報を盗み、それらをC&Cサーバーに送信します。

バンキング型トロイの木馬

5月、サイバー犯罪者はMMSメッセージを使用して Android.BankBot.186.origin などのバンキング型トロイの木馬を拡散していました。ユーザーは詐欺ページへのリンクを含んだSMSメッセージを受け取り、そのページから悪意のあるAPKファイルがモバイルデバイス上にダウンロードされます。

Android.BankBot.186.origin はシステムから削除されないよう管理者権限を要求します。また、標準のSMSアプリケーションに取って代わることで、Androidの新しいバージョンに搭載されたセキュリティシステムを回避し、メッセージの送信や横取りを可能にします。その後、 Android.BankBot.186.origin は銀行口座の残高を確認し、サイバー犯罪者へと密かに送金を行います。

Androidデバイスを狙った悪意のあるプログラムは依然として大きな脅威となっています。トロイの木馬は悪意のあるWebサイトからだけでなく、公式アプリケーション配信サイトであるGoogle Playからも拡散されることがあります。お使いのスマートフォンやタブレットを危険なソフトウェアや望まないソフトウェアから守るため、Dr.Web for Androidをインストールすることをお勧めします。