2023年2月のモバイルマルウェアレビュー

[% DEFAULT FILE_REVIEW = ''; NAME_SOME_ARRAY_IN_MACROSNAME = [ { box => "Overview" }, { box => "Statistics" }, { box => "Threats on Google Play" } ] #FILE_REVIEW = '' %] [% BLOCK global.tpl_blueprint.content %]

2023年4月17日

株式会社Doctor Web Pacific

Android向け Dr.Web製品によって収集された検出統計によると、2023年2月には Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬の活動が前月と比較して26.95%増加しています。一方、 Android.MobiDash ファミリーに属するアドウェア型トロイの木馬の活動は7.27%減少しました。

バンキング型トロイの木馬とランサムウェアの検出数はそれぞれ70.57%および14.63%減少しています。また、スパイウェアの活動にも33.93%の減少がみられました。スパイウェアの中で最も多く検出されたのは、WhatsAppメッセンジャーの一部の非公式Mod(改造版)ユーザーを標的とするマルウェアのさまざまな亜種となっています。

Google Playでは、Doctor Webのウイルスラボによって70を超える悪意のあるアプリが発見され、それらの多くは Android.FakeApp ファミリーに属する偽アプリでした。そのほか、ユーザーを有料サービスに登録するトロイの木馬も発見されています。

Dr.Web for Androidによる統計

Android.Spy.5106

Android.Spy.4498

WhatsAppメッセンジャーの非公式Mod(改造版)であるトロイの木馬の、さまざまな亜種の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。

Android.HiddenAds.3558

迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されます。別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自身の存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。

Android.Packed.57083

ApkProtectorパッカーによって保護された悪意のあるアプリの検出名です。バンキング型トロイの木馬やスパイウェア型トロイの木馬などの脅威が含まれます。

Android.MobiDash.7422

迷惑な広告を表示するトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

Program.FakeMoney.7

Program.FakeMoney.8

動画や広告を視聴することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても、実際にお金を手にすることはできません。

Program.FakeAntiVirus.1

アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、完全版を購入するために料金を支払うよう要求する場合があります。

Program.wSpy.1.origin

Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。

Program.SecretVideoRecorder.1.origin

Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にすることで密かに動作することができ、アプリのアイコンと表示名を偽のものに置き換えることも可能です。これらの機能により、潜在的に危険なソフトウェアと見なされます。

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.6.origin

Tool.SilentInstaller.17.origin

Tool.SilentInstaller.7.origin

Tool.SilentInstaller.13.origin

アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。メインのOSに影響を及ぼさない仮想ランタイム環境を作成します。

Adware.AdPush.36.origin

Adware.Adpush.19599

Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールプロセスを開始することができます。

Adware.SspSdk.1.origin

Androidアプリに組み込まれる特殊な広告モジュールです。ホストアプリケーションが使用されておらず、そのウィンドウが閉じているときを狙って広告を表示させます。そうすることで、ユーザーが迷惑な広告の原因を特定することを困難にします。

Adware.Airpush.7.origin

Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのメンバーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。

Adware.Fictus.1.origin

特殊なnet2share パッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。

Google Play上の脅威

2023年2月、Doctor WebのウイルスアナリストはAndroidユーザーを有料サービスに登録する悪意のあるアプリの新たなものをGoogle Playで発見しました。 Android.Subscription.19 および Android.Subscription.20 としてDr.Webのウイルスデータベースに追加された Android.Subscription ファミリーに属するトロイの木馬は、壁紙画像集ソフトウェア「WPHD - Wallpapers 4K」と削除されたファイルの復元ツール「Back File」を装って拡散されていました。

このタイプの悪意のあるアプリは起動されると有料サービスのサイトを開き、自動的に、または携帯電話番号を入力するよう促すことで、ユーザーを登録させようとします。以下の画像は、今回発見されたトロイの木馬によって開かれるサイトの例です。登録プロセスが開始されています。

Android.Joker.2038 および Android.Joker.2039 と名づけられた Android.Joker ファミリーに属するトロイの木馬は、「Photo Safe」と「Home Security Camera」に潜んでいました。前者は不正アクセスからファイルを保護するアプリで、後者はAndroidスマートフォン経由で監視カメラをコントロールしたり、デバイス自体を監視カメラモードで使用したりできるようにするアプリです。これら悪意のあるアプリは密かにサイトを開き、自動的にユーザーを有料サービスに登録します。

あらゆる種類のアプリを装って拡散される、 Android.FakeApp ファミリーに属する偽アプリも多数発見されています。その多く (Android.FakeApp.1219、 Android.FakeApp.1220、 Android.FakeApp.1221、 Android.FakeApp.1226、 Android.FakeApp.1228、 Android.FakeApp.1229、 Android.FakeApp.1231、 Android.FakeApp.1232、 Android.FakeApp.1241 など)はガイドやチュートリアルなどのさまざまな金融関連アプリ、アンケート用プログラム、トレードツール、相場情報を提供するアプリ、家計簿アプリなどに偽装していました。

ユーザーが特定のリンクからインストールした場合(広告からインストールした場合など)、これらのアプリは起動されると偽サイトを開きます。ユーザーはそこで、個人情報を入力してアカウントに登録すれば、簡単なアンケートに回答して「投資プラットフォーム」にアクセスすることができると誘われます。一方、ユーザーが自らの意思でこれらの偽アプリを探してインストールした場合、一部のアプリは偽サイトを開く代わりに実際にアプリとしての機能を実行します。

以下の画像は、これらトロイの木馬によって開かれる偽サイトの例です。

スポーツ関連アプリやブックメーカー(賭け)の公式アプリを装って拡散されていた偽アプリも多く発見されています。

それらの一部 (Android.FakeApp.1192、 Android.FakeApp.1193、 Android.FakeApp.1194、 Android.FakeApp.22.origin、 Android.FakeApp.1195、 Android.FakeApp.1196 など)はインストールされるとデバイスのチェックを実行し、それがテストデバイスだった場合(SIMカードがインストールされていない、またはNexusデバイスであるなど)、ゲームやクイズを起動したり、スポーツチャートや情報一覧、試合の情報を表示するなど無害な機能を実行します。テストデバイスでない場合はFirebase データベースから受け取ったアドレスのサイトをWebViewまたはブラウザで開きます。また別の一部 (Android.FakeApp.1197、 Android.FakeApp.1198、 Android.FakeApp.1199、 Android.FakeApp.1200、 Android.FakeApp.1201、 Android.FakeApp.1202、 Android.FakeApp.1204、 Android.FakeApp.1209、 Android.FakeApp.1212 など)はリモートサーバーに接続し、アプリ内に隠された無害な機能を実行するかサイトを開くかをサーバーが決定します。また、 Android.FakeApp.1203 は表示するサイトのリンクをクラウドサービスFirebase Remote Config から受け取ります。以下の画像はこれらの偽アプリがどのように動作するかを示した例です。

ゲームが起動されている例と、サッカーの試合に関する情報の一覧が表示されている例です。

次の画像ではブックメーカーのサイトが開かれています。

Android.FakeApp.1222、 Android.FakeApp.1224、 Android.FakeApp.1225、 Android.FakeApp.1235 はゲームを装って拡散され、ゲームとして機能する代わりにGoogle Chromeブラウザでオンラインカジノのサイトを開きます。

以下の画像は、それらの一つがゲーミングモードでどのように動作するかを示した例です。

以下の画像は表示されるサイトの例です。

そのほか、架空の求人情報が掲載された詐欺サイトを表示させる、求人検索アプリを装った偽アプリも発見されています。ユーザーが求人を選択すると、フォームに連絡先情報を入力するよう要求されるか、またはメッセンジャーアプリを使用して直接「雇用主」に連絡するよう指示されます。この偽アプリは2022年末から知られているトロイの木馬の亜種で、Dr.Web によって Android.FakeApp.1133 として検出されます。

お使いのAndroidデバイスをマルウェアや望ましくないプログラムから保護するために、Android向けDr.Webアンチウイルス製品をインストールすることをお勧めします。

Indicators of compromise(侵害の痕跡)※英語

[% END %]