The page may not load correctly.
2022年7月27日
株式会社Doctor Web Pacific
2022年6月には他のアプリの通知から情報を盗むよう設計されたトロイの木馬 Android.Spy.4498 の活動が引き続き減少し、その検出数は5月と比較して20.56%減となりました。アドウェア型トロイの木馬 Android.HiddenAds の活動も減少しましたが、こちらはより少ない8%の減少となっています。それにもかかわらず、いずれのトロイの木馬も依然として最も多く検出されたAndroid向け脅威の一つとなっています。
Google Play では数十の悪意のあるアプリが発見され、それらの中にはアドウェア型トロイの木馬やスキャマーによって用いられる偽アプリ、機密情報を盗むインフォスティーラーが含まれていました。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュールです。属するファミリーやそれぞれの亜種によって、フルスクリーンモードで広告を表示させて他のアプリケーションのウィンドウをブロックする、さまざまな通知を表示させる、ショートカットを作成する、Webサイトを開くなどの動作を実行することができます。
6月、Doctor Webのウイルスラボは Android.HiddenAds ファミリーに属する約30のアドウェア型トロイの木馬を発見しました。これらトロイの木馬には新たな亜種( Android.HiddenAds.3168、 Android.HiddenAds.3169、 Android.HiddenAds.3171、 Android.HiddenAds.3172、 Android.HiddenAds.3207 など)と5月のレビューでも言及した既知の亜種 Android.HiddenAds.3158 の両方が含まれており、合計で989万件以上ダウンロードされています。
これらはすべて、画像編集ソフトウェア、仮想キーボード、システムツールとユーティリティ、通話アプリ、壁紙集アプリなどのさまざまなプログラムに組み込まれていました。
以下は、それらトロイの木馬を含むアプリのリストです。
広告を表示させるために、これらアプリの一部は他のアプリの前面にウィンドウを表示する権限を要求し、残りのアプリはバッテリー節約機能の除外リストに追加するようユーザーに要求します。また、時間が経ってからユーザーが悪意のあるアプリを発見することを困難にするために、ホーム画面のアプリ一覧から自身のアイコンを隠したり、より目立たないもの、たとえば「SIM Tool Kit」という名前のアイコンに置き換えたりします。ユーザーがこのアイコンを選択すると、トロイの木馬を含んだアプリの代わりに、アイコンと同じ「SIM Tool Kit」という名前の、SIMカードを操作するためのシステムアプリが起動します。
以下の画像は、これらトロイの木馬がどのように必要な権限を取得しようとするかを示す例です。
以下の画像は、トロイの木馬の一つによって置き換えられたアイコンの例です。
任意のコードをダウンロードして実行し、気づかないうちにユーザーを有料モバイルサービスに登録する Android.Joker ファミリーに属するまた別のトロイの木馬も発見されました。それらの一つはサードパーティランチャー「Poco Launcher」に潜み、また別の一つはカメラアプリ「4K Pro Camera」に、そして三つ目はステッカー(スタンプ)集アプリ「Heart Emoji Stickers」に隠されていました。それぞれ Android.Joker.1435、 Android.Joker.1461、 Android.Joker.1466としてDr.Webのウイルスデータベースに追加されています。
さらに、Facebookアカウントをハッキングするためのデータを盗むよう設計された Android.PWS.Facebook ファミリーに属する新たなマルウェアも発見されています。 Android.PWS.Facebook.149 および Android.PWS.Facebook.151 と名づけられたこれらトロイの木馬は、それぞれ「YouToon - AI Cartoon Effect」および「Pista - Cartoon Photo Effect」と呼ばれる画像編集アプリを装って拡散されていました。
起動されると、これらトロイの木馬はFacebookアカウントにログインするようユーザーに促し、本物のFacebookの認証ページを表示させます。その後、ユーザーが入力した認証情報をハイジャックし、攻撃者に送信します。
また、十分な水分を摂るよう促すリマインダーアプリ「Water Reminder-Tracker & Reminder」とヨガアプリ「Yoga- For Beginner to Advanced」に潜んだトロイの木馬 Android.Click.401.origin も発見されました。ユーザーに疑いを抱かれないよう、いずれのアプリもそれぞれの謳われた機能をしっかりと実行します。
Android.Click.401.origin は、そのファイルリソース内にあるメインの悪意のあるコンポーネント(Dr.Webによって Android.Click.402.origin として検出)を復号化して起動し、このコンポーネントが密かにWebViewにさまざまなサイトを表示させます。その後、コンポーネントはサイト内のインタラクティブな要素(バナーや広告リンクなど)を自動的にクリックしてユーザーの操作を模倣します。
そのほか、偽のオンラインコミュニケーションアプリ「Chat Online」が発見され、このマルウェアの亜種が Android.FakeApp.963 および Android.FakeApp.964 としてDr.Webのウイルスデータベースに追加されました。
このトロイの木馬は謳われた機能は実行せず、詐欺サイトを含むさまざまなサイトを開きます。中には、オンラインデートサービスの登録プロセスがシミュレートされるサイトもあります。その際、ユーザーは携帯電話番号やメールアドレスなどの個人情報を提示するよう求められます。それらの情報はブラックマーケットに流出し、スキャマーによって悪用される危険性があります。
また別のサイトでは相手との会話がシミュレートされ、その「会話」を続けるためにプレミアムアクセスにお金を払うよう促されます。同意してしまうと、1回限りの支払いが生じたり不必要な有料サービスに登録されたりするだけでなく、サイバー犯罪者がクレジットカード情報を入手した場合にはお金をすべて失ってしまう可能性があります。
Doctor Webでは、発見された脅威についてGoogleに報告を行いましたが、本記事掲載時点で一部の悪意のあるアプリが未だダウンロード可能な状態になっています。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Android向け Dr.Web製品をインストールすることをお勧めします。
© Doctor Web
2003 — 2022
Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。
株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F