2021年6月のモバイルマルウェアレビュー
2021年7月16日
株式会社Doctor Web Pacific
6月を通して、Doctor WebのマルウェアアナリストによってGoogle Play上で新たな脅威が多数発見されています。それらの中には、Facebookアカウントのログインとパスワードを盗むトロイの木馬や、ユーザーを有料モバイルサービスに登録する危険なプログラム、偽サイトを表示させるトロイの木馬が含まれていました。
6月の主な傾向
- Google Playで悪意のあるアプリを多数発見
6月の脅威
6月、Doctor WebのスペシャリストはFacebookアカウントのログインとパスワードを盗む悪意のあるアプリをGoogle Play上で発見しました。 Android.PWS.Facebook.13、 Android.PWS.Facebook.14、 Android.PWS.Facebook.17、 Android.PWS.Facebook.18 と名付けられたこれらトロイの木馬は無害なソフトウェアを装って拡散され、5,850,000回以上ダウンロードされています。
これらトロイの木馬は機密情報を盗むために本物のFacebookログインページを開き、アカウントにログインするようユーザーに促します。次に、特別なJavaScriptを使用して、入力されたログインとパスワードを盗み、さらに他のデータも盗んでそれらをすべて攻撃者のC&Cサーバーに送信します。
この脅威に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.HiddenAds.1994
- Android.HiddenAds.615.origin
- 広告を表示させるよう設計されたトロイの木馬です。無害なアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.RemoteCode.284.origin
- Android.RemoteCode.6122
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。亜種によって、さまざまなWebサイトを開く、リンクを辿る、広告バナーをクリックする、ユーザーを有料サービスに登録させるなどの動作を実行することができます。
- Android.Triada.510.origin
- さまざまな悪意のある動作を実行する多機能なトロイの木馬です。このマルウェアは他のアプリのプロセスを感染させるトロイの木馬ファミリーに属します。亜種の中にはAndroidデバイスの製造過程で犯罪者によってファームウェア内に組み込まれているものもあります。さらに、保護されたシステムファイルやフォルダにアクセスするために脆弱性を悪用するものもあります。
- Program.FakeAntiVirus.1
- アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、完全版を購入するために料金を支払うよう要求する場合があります。
- Program.WapSniff.1.origin
- WhatsAppのメッセージを傍受するように設計されたAndroidプログラムです。
- Program.KeyStroke.1.origin
- Androidデバイス上のキーストロークを傍受する機能を持ったアプリケーションです。着信SMSを追跡したり、通話履歴にアクセスしたり、通話を録音したりすることもできます。
- Program.FreeAndroidSpy.1.origin
- Androidユーザーのアクティビティを監視するソフトウェアで、サイバースパイツールとして使用される可能性があります。デバイスの位置情報を追跡する、SMSやソーシャルメディアメッセージから情報を収集する、文書や写真、動画をコピーする、通話の盗聴を行うなどの動作を実行することができます。
- Program.CreditSpy.2
- 個人情報に基づいてユーザーの信用格付けを行うよう設計されたプログラムの検出名です。SMSメッセージ、電話帳の連絡先情報、通話履歴などの情報を収集してリモートサーバーに送信します。
- Tool.SilentInstaller.6.origin
- Tool.SilentInstaller.10.origin
- Tool.SilentInstaller.13.origin
- Tool.SilentInstaller.14.origin
- アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。メインのOSに影響を及ぼさない仮想ランタイム環境を作成します。
- Tool.Packer.1.origin
- 難読化ツールObfuscapkによって保護されたアプリケーションの検出名です。このツールはAndroidアプリケーションのソースコードを自動的に変更し、難読化するためのもので、リバースエンジニアリングを困難にすることを目的としています。犯罪者は悪意のあるアプリケーションや危険なアプリケーションをアンチウイルスから保護する目的でこのツールを使用します。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュールです。属するファミリーやそれぞれの亜種によって、フルスクリーンモードで広告を表示させて他のアプリケーションのウィンドウをブロックする、さまざまな通知を表示させる、ショートカットを作成する、Webサイトを開くなどの動作を実行することができます。
- Adware.SspSdk.1.origin
- Adware.Adpush.36.origin
- Adware.Adpush.16510
- Adware.Adpush.6547
- Adware.Myteam.2.origin
Google Play上の脅威
Google Playでは、Facebookのログインとパスワードを盗むスティーラー型トロイの木馬に加え、その他の悪意のあるアプリケーションもDoctor Webのスペシャリストによって発見されています。 それらの中には被害者を有料モバイルサービスに登録し任意のコードを実行する機能を備えたトロイの木馬 Android.Joker.758 と Android.Joker.766 が含まれていました。 Android.Joker.758 は動画編集アプリを装い、 Android.Joker.766 はAndroidホーム画面用の壁紙画像集アプリを装って拡散されていました。
発見されたその他のトロイの木馬は Android.FakeApp マルウェアファミリーに属する偽アプリで、さまざまな正規ソフトウェアを装って拡散されていました。たとえば、トロイの木馬 Android.FakeApp.278、 Android.FakeApp.279、 Android.FakeApp.294、 Android.FakeApp.295、 Android.FakeApp.296、 Android.FakeApp.298 は、ユーザーが無料の宝くじを受け取ったり抽選結果を確認したりできるとする「Русское лото(ロシアのロト)」宝くじの公式アプリとして拡散されていました。
一方、トロイの木馬 Android.FakeApp.280、 Android.FakeApp.281、 Android.FakeApp.282、 Android.FakeApp.283、 Android.FakeApp.284、 Android.FakeApp.285、 Android.FakeApp.286 は、通貨や石油、天然ガス、暗号通貨の取引などによって金融市場や商品市場で利益を得るよう設計されたソフトウェアを装って拡散されていました。
開発者は、これらのアプリは「自動的に取引を成功させた」と主張しています。ユーザーはただ登録して「マネージャー」に連絡するだけです。アプリの中には政府やロシア連邦大統領からの支援を受けて作成されたとしているものもあります。また、一部のアプリはロシアのユーザーのみでなくポーランドなどの他の国のユーザーも対象にしています。実際には、これらの偽アプリはいずれも謳われた機能を実行せず、疑わしいフィッシングサイトを開いてユーザーをスキャマーの罠に陥れます。
また別の「金融系」偽アプリはイーロン・マスクが支援する投資アプリを装って拡散され、 Android.FakeApp.277 としてDr.Webのウイルスデータベースに追加されました。このアプリは起動されると、保有している仮想通貨をテスラ社のウォレットに送金することで「2倍」に増やすことができるとユーザーに提案します。しかしながら、このトロイの木馬はテスラ社ともその所有者とも何の関係もなく、実際にはユーザーは仮想通貨をスキャマーに送金してしまうだけです。
Android.FakeApp.297 と名付けられたまた別のトロイの木馬はデジタルウォレットソフトウェアを装って拡散されていました。他の偽アプリ同様、この悪意のあるアプリケーションも詐欺サイトを開きます。
そのほか、ユーザーがロシア政府からの給付金や補償に関する情報を確認してそれらを受け取るためのアプリを装った新たな偽アプリも発見されています。これらはAndroid向けDr.Webアンチウイルス製品によって Android.FakeApp.291、 Android.FakeApp.292、 Android.FakeApp.293として検出されます。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。

ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます