マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話

お問い合わせ履歴

電話(英語)

+7 (495) 789-45-86

Profile

2024年のモバイルマルウェアレビュー

2025年2月3日

株式会社Doctor Web Pacific


2024年には、広告を表示させるトロイの木馬が再び最も多く検出されたAndroid向け脅威となりました。詐欺アプリやランサムウェア型トロイの木馬、クリッカー、バンキング型トロイの木馬の活動は2023年と比較して増加しています。バンキング型トロイの木馬に関しては、インターネットバンキングアカウントにアクセスするためのデータとSMS内の確認コードのみを盗む単純な機能を持ったものが2023年と比べて増加しており、最も多く検出されています。

最も多く検出された望ましくないアプリケーションは、さまざまなタスクを完了することで仮想報酬を得ることができるとうたうアプリで、この報酬は現金化して引き出すことができるとされています。最も多く検出されたリスクウェアはAndroidアプリをインストールせずに実行できるようにするツールとなりました。最も多く検出されたアドウェアはWhatsAppメッセンジャーの改造版でした。この改造版の機能には広告URLをロードするコードが挿入されています。

Google Playでは2024年を通して何百もの新たな脅威が発見され、そのダウンロード数は合計で2,670万件を超えています。それらの中にはスパイウェア型トロイの木馬や望ましくないアプリ、アドウェアアプリなどの悪意のあるプログラムが含まれていました。

2024年には、Android TVボックスに対する新たな攻撃もDoctor Webのエキスパートによって発見されました。システムストレージ領域に自身のコンポーネントを置くバックドアが約130万台のデバイスを感染させていたというものです。このバックドアは攻撃者のコマンドに応じてサードパーティソフトウェアを密かにダウンロードしてインストールする機能を備えていました。

また、Androidマルウェアの分析を複雑化させ、アンチウイルスによる検出を回避するための手法の導入が増加していることがDoctor Webのウイルスアナリストによって明らかになりました。これらの手法は、ZIPアーカイブ形式(AndroidアプリのAPKファイルはZIP形式をベースにしています)やアプリの設定ファイル AndroidManifest.xml に手を加えるなどといったもので、多くの場合バンキング型トロイの木馬で使用されています。

2024年の最も注目すべきイベント

2024年5月、Doctor Webはスマートセックストイを操作するためのアプリと身体活動を追跡するアプリに潜んだクリッカー型トロイの木馬 Android.Click.414.origin発見しました。 いずれのアプリもGoogle Playから配信されており、インストール数は合計で150万を超えていました。詳細な分析の結果、 Android.Click.414.origin はモジュラー型構造であることが明らかになりました。それらのモジュールがそれぞれ特定のタスクを実行し、 密かに広告サイトを開いてWebページをスクロールしたり、フォームにテキストを入力したり、開いたサイトで音声をミュートにしたりすることができます。 また、表示されているページのスクリーンショットを撮影してサーバーに送信し、ピクセル単位で分析してクリック可能な領域を特定する機能も備えています。 そのほか、Android.Click.414.origin は感染したデバイスに関する詳細な情報をC&Cサーバーに送信します。一方で、特定のユーザーは Android.Click.414.origin の標的から外れており、インターフェース言語が中国語に設定されているデバイス上ではこのクリッカーは起動しません。

アプリ 「Love Spouse」と「QRunning」の一部のバージョンにはトロイの木馬 Android.Click.414.origin が潜んでいた

9月、Doctor Webはバックドア Android.Vo1d がAndroid TVボックスを感染させた事例について詳細な分析結果を公表しました。 このモジュール型マルウェアはステムストレージ領域に自身のコンポーネントを置き、脅威アクターのコマンドに応じてサードパーティソフトウェアを密かにダウンロードしてインストールすることができます。 世界197か国で130万台のデバイスが Android.Vo1d に感染していました。

Android.Vo1d バックドアに感染したTVボックスの検出数が最も多かった国

11月、Doctor WebはDNSプロトコルを使用して密かにC&Cサーバーに接続するマルウェアの例として Android.FakeApp.1669 を取り上げ、記事を公開しました。 Android.FakeApp.1669 は目的のサイトを開くことのみを目的とした比較的原始的なトロイの木馬ですが、サイトのアドレスを悪意のあるDNSサーバーのTXTファイルから取得し、 そのために改変されたdnsjavaライブラリを使用するという点で他の Android.FakeApp トロイの木馬と異なっています。また、Android.FakeApp.1669 は特定のプロバイダ経由でインターネットに接続している場合にのみその姿を現し、それ以外の場合は無害なアプリとして動作します。

Android.FakeApp.1669 の亜種の1つを分析中に、Linuxの「dig」ツール経由でのリクエストに対してDNSサーバーが返した、ターゲットドメインのTXTレコードの例

統計

Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)によって収集された検出統計によると、2024年に最も多く検出された脅威は悪意のあるプログラムで、検出された脅威全体の74.67%を占めました。次いでアドウェアが10.96%を占めて2位となり、リスクウェアが10.55%を占めて3位、望ましくないアプリが3.82%を占めて4位となっています。

以下のグラフは、脅威の内訳を種類別に表したものです。

悪意のあるプログラム

2024年に最も多く検出された悪意のあるAndroidアプリは引き続き Android.HiddenAds ファミリーに属するトロイの木馬となりました。マルウェアの検出数全体に占める割合は2023年と比べて0.34ポイント増加し、31.61%となっています。

Android.HiddenAds ファミリーの中で最も多く検出されたのは Android.HiddenAds.3956 (Android.HiddenAds ファミリー検出数全体の15.10%、マルウェア検出数全体の4.84%)でした。このトロイの木馬は数年にわたって拡散され続けている Android.HiddenAds.1994 の数ある亜種の1つで、その他の亜種と同時に2023年に出現したものです。Doctor Webでは、いずれ Android.HiddenAds.3956 がファミリー内で首位におどり出る可能性もあると予測していましたが、それが現実のものとなりました。2024年には Android.HiddenAds.3980Android.HiddenAds.3989Android.HiddenAds.3994Android.HiddenAds.655.originAndroid.HiddenAds.657.origin などの新たな亜種も多く拡散されました。

また、サブファミリーである Android.HiddenAds.Aegis も多く検出されるようになっています。他の Android.HiddenAds マルウェアと異なり、このファミリーに属するマルウェアは自動実行機能を含むその他複数の 機能を備えています。最も多く検出された亜種は Android.HiddenAds.Aegis.1Android.HiddenAds.Aegis.4.originAndroid.HiddenAds.Aegis.7.originAndroid.HiddenAds.Aegis.1.origin でした。

2番目に多く検出されたマルウェアは、サイバー犯罪者によってさまざまな詐欺スキームに用いられる Android.FakeApp ファミリーに属するトロイの木馬となりました。マルウェア検出数全体に占める割合は2023年比で16.45ポイント増の18.28%となっています。多くの場合、これらトロイの木馬はフィッシング攻撃やインターネット詐欺を目的とした不正なサイトを開きます。

スパイウェア機能を備えたトロイの木馬 Android.Spy が3番目に多く検出されたマルウェアとなり、マルウェア検出数全体に占める割合は2023年比16.7ポイント減の11.52%でした。Android.Spy の中で最も多く検出されたのは2023年同様Android.Spy.5106で、マルウェア検出数全体の5.95%を占めました。

別のアプリをダウンロードしてインストールするよう設計され、任意のコードを実行することのできるマルウェアの検出数には複雑な動きがみられました。ダウンローダ型トロイの木馬 Android.DownLoader のマルウェア検出数全体に占める割合は0.49ポイント減の1.69%となり、 Android.Mobifun は0.15ポイント減の0.10%、 Android.Xiny は0.14ポイント減の0.13%となりました。一方で、Android.TriadaAndroid.RemoteCode の検出数は増加し、それぞれ0.6ポイント増の2.74%、0.95ポイント増の3.78%となっています。

ソフトウェアパッカーによって保護されたマルウェア Android.Packed の占める割合は7.98%から5.49%に減少し、ほぼ2022年の数値まで戻りました。アドウェア型トロイの木馬 Android.MobiDash による攻撃も10.06%から5.38%に減少しています。一方でランサムウェア型トロイの木馬 Android.Locker の検出数は1.15%から1.60%、 Android.Proxy の検出数は0.57%から0.81%とわずかに増加しました。 Android.Proxy は感染させたAndroidデバイスを使用して攻撃者のネットワークトラフィックをリダイレクトさせるトロイの木馬です。また、広告サイトを開いてページ上で勝手にクリックするマルウェア Android.Click の活動は0.82%から3.56%と大幅に増加しています。

以下のグラフは2024年に最も多く検出された上位10のマルウェアです。

Android.FakeApp.1600
設定にハードコードされたWebサイトを開くトロイの木馬アプリです。既知の亜種ではオンラインカジノのサイトが開かれます。
Android.Spy.5106
WhatsAppメッセンジャーの非公式Mod(改造版)として拡散されるトロイの木馬の検出名です。通知の内容を盗み、ユーザーに提供元不明の別のアプリをインストールさせようとします。また、メッセンジャーの使用中に、内容をリモートでカスタマイズ可能なダイアログボックスを表示することもできます。
Android.HiddenAds.3956
Android.HiddenAds.3851
Android.HiddenAds.655.origin
Android.HiddenAds.3994
Android.HiddenAds.657.origin
迷惑な広告を表示するよう設計されたトロイの木馬です。無害でポピュラーなアプリを装って拡散されることが多く、別のマルウェアによってシステムディレクトリ内にインストールされる場合もあります。通常、これらのトロイの木馬はAndroidデバイス上に侵入すると自らの存在をユーザーから隠そうとします(ホーム画面からアイコンを「隠す」など)。
Android.Click.1751
サードパーティによるWhatsAppメッセンジャーのMod(改造版)に組み込まれ、Googleのライブラリクラスに偽装したトロイの木馬です。ホストアプリケーションが使用されている間にC&Cサーバーの1つに接続し、そこから2つのURLを受け取ります。1つはロシア語圏のユーザーを対象としたもので、もう1つはそれ以外のユーザーを対象としています。次に、同じくリモートサーバーから受け取った内容のダイアログボックスを表示させ、ユーザーが確認ボタンをクリックすると該当するリンクをブラウザで開きます。
Android.HiddenAds.Aegis.1
Androidデバイス上で自身の存在を隠し、迷惑な広告を表示させるトロイの木馬アプリです。インストール後に自動起動することができ、自身のサービスが常に実行されているようにするメカニズムを備えています。また、Android OSの隠し機能を使用する場合もあります。これらの点において、Android.HiddenAds ファミリー に属する他のトロイの木馬と異なっています。
Android.MobiDash.7815
迷惑な広告を表示させるトロイの木馬です。開発者によってアプリケーション内に埋め込まれる特殊なソフトウェアモジュールです。

望ましくないアプリケーション

2024年に最も多く検出された望ましくないアプリケーションは、さまざまなタスクを完了することでお金を稼ぐことができるとうたうアプリのファミリーに属する Program.FakeMoney.11 でした。 実際にはユーザーが報酬を手にすることはありません。この Program.FakeMoney.11 は望ましくないアプリケーション検出数全体の52.10%と、約半分を占めていました。

Dr.Webアンチウイルス製品によって Program.CloudInject.1 として検出されるアプリケーションが19.21%(2023年比9.75ポイント増)を占めて2位につけました。これらはクラウドサービスCloudInjectを使用して改造されたアプリケーションです。 改造過程で危険な権限や難読化されたコードが追加され、ユーザーはそのコードの目的をコントロールすることができません。

Program.FakeAntiVirus.1 の活動は2年続けて減少し、2023年比9.35ポイント減の10.07%を占めて3位となりました。このプログラムはアンチウイルスの動作を模倣して存在しない脅威の検出を通知し、検出された問題を「修復」するために製品の完全版を購入するよう促します。

2024年を通して、アクティビティを監視したりコントロールしたりするためのさまざまなアプリケーションが検出されました。これらのアプリケーションはユーザーの同意を得たうえでデータを収集することも密かに収集することも可能で、後者の目的で使用された場合は実質スパイウェアとなります。この種のアプリケーションで最も多く検出されたのは Program.TrackView.1.origin (2.40%)、Program.SecretVideoRecorder.1.origin (2.03%)、 Program.wSpy.3.origin (0.98%)、Program.SecretVideoRecorder.2.origin (0.90%)、 Program.Reptilicus.8.origin (0.64%)、Program.wSpy.1.origin (0.39%)、Program.MonitorMinor.11 (0.38%)となっています。

また、指定されたサイトを開いて広告を表示するアプリ Program.Opensite.2.origin が、望ましくないアプリケーション検出数全体の0.60%を占めました。

以下のグラフは2024年に最も多く検出された上位10の望ましくないアプリケーションです。

Program.FakeMoney.11
Program.FakeMoney.7
さまざまなタスクを完了することでお金を稼ぐことができるとうたうAndroidアプリケーションの検出名です。このアプリはタスクが完了するたびに報酬が貯まっていくかのように見せかけます。「稼いだ」お金を引き出すために(多くの場合、一般的に広く使用されている支払いシステムや銀行を指定されます)、ユーザーは一定の金額を貯める必要があるとされていますが、たとえその金額が貯まったとしても実際にお金を手にすることはできません。このウイルスレコードは、そのようなアプリのソースコードを基に作成された他の望ましくないソフトウェアの検出にも使用されます。
Program.CloudInject.1
クラウドサービスCloudInjectと、同名のAndroidユーティリティ( Tool.CloudInject としてDr.Webウイルスデータベースに追加されています)を使用して改造されたAndroidアプリケーションの検出名です。アプリケーションはリモートサーバー上で改造されますが、その際、改造を行うユーザーはアプリに何が追加されるのか具体的な改造内容をコントロールすることができません。また、これらのアプリケーションは危険なシステム権限を複数要求します。改造後、ユーザーはこれらアプリをリモートで管理できるようになります(アプリをブロックする、カスタムダイアログを表示する、他のソフトウェアのインストールや削除を追跡するなど)。
Program.FakeAntiVirus.1
アンチウイルスソフトウェアを模倣するアドウェアアプリケーションの検出名です。これらのアプリは存在しない脅威について偽の通知をすることでユーザーを騙し、ソフトウェアの完全版を購入するよう要求します。
Program.TrackView.1.origin
Androidデバイスを通じてユーザーを監視できるようにするアプリケーションの検出名です。このアプリを使用することで、悪意のあるアクターがデバイスの位置を追跡したり、カメラで動画や写真を撮ったり、マイクで周囲の音を聞いたり、音声を録音したりすることが可能になります。
Program.SecretVideoRecorder.1.origin
Program.SecretVideoRecorder.2.origin
Androidデバイスの内蔵カメラを使用して周囲の動画や写真を撮影するよう設計されたアプリケーションの、さまざまな亜種の検出名です。撮影中であることを知らせる通知を無効にしたり、アプリのアイコンと表示名を偽のものに置き換えたりすることができ、密かに動作することが可能です。これらの機能により、潜在的に危険なソフトウェアとみなされます。
Program.wSpy.3.origin
Androidユーザーのアクティビティを密かに監視するよう設計された商用スパイウェアアプリです。このアプリを使用することで、侵入者がSMSやポピュラーなメッセージングアプリのチャットを読む、周囲の音声を盗聴する、デバイスの位置情報やブラウザ閲覧履歴を追跡する、電話帳や連絡先・写真や動画にアクセスする、デバイスの内蔵カメラでスクリーンショットや写真を撮ることが可能になります。また、キーロガーとしての機能も備えています。
Program.Reptilicus.8.origin
Androidユーザーを監視できるようにするアプリケーションです。デバイスの位置情報を追跡する、SMSやソーシャルメディアのメッセージから情報を収集する、通話を傍受して周囲の音声を録音する、スクリーンショットを撮る、キーロガーとして機能する、デバイス上のファイルをコピーするなどの動作を実行することができます。
Program.Opensite.2.origin
指定されたサイトを開いて広告を表示させる機能を持つAndroidプログラムの検出名です。このようなアプリは多くの場合、他のソフトウェアを装っています。YouTube動画プレーヤーを装って拡散されている亜種は、本物のYouTubeサイトを開き、接続されている広告SDKを使用して広告バナーを表示させます。

リスクウェア

2024年に多く検出されたリスクウェアでは、Androidアプリをインストールせずに実行できるようにするユーティリティ Tool.SilentInstaller が再び首位の座をキープしました。その検出数はリスクウェア全体の3分の1以上を占めています。最も多く検出された亜種は Tool.SilentInstaller.17.origin (16.17%)、 Tool.SilentInstaller.14.origin (9.80%)、 Tool.SilentInstaller.7.origin (3.25%)、 Tool.SilentInstaller.6.origin (2.99%)となっています。

NP Managerユーティリティを使用して改造されたアプリケーションも多く検出されました。このユーティリティは特殊なモジュールをアプリに埋め込み、 改造されたアプリがデジタル署名の検証をバイパスすることを可能にします。Dr.Webアンチウイルス製品は改造されたそのようなアプリを Tool.NPMod ファミリーの亜種として検出します。 最も多く検出された亜種は Tool.NPMod.1 で、2024年を通して大幅に検出数を伸ばしリスクウェア検出数全体の16.49%を占めました。これは2023年比で11.68ポイント増となります。また別の亜種である Tool.NPMod.2 は7.92%を占めました。合計で、Tool.NPMod ファミリーがリスクウェア検出数全体の4分の1近くを占めることになります。

Tool.Packer.1.origin パッカーによって保護されたアプリも検出数の上位に入っています。これらは2023年比12.38ポイント増となる13.17%を占めました。Tool.Androlua.1.origin の検出数も3.10%から3.93%と増加しています。これはAndroidアプリの改変や、悪意のあるものとなりうるLuaスクリプトの実行を可能にするフレームワークです。

一方、2023年に上位を占めていた Tool.LuckyPatcher fファミリーに属するツールは14.02%から8.16%に減少しました。このツールを使用することで、 Androidアプリケーションを改変したり、インターネットからダウンロードした特別なスクリプトを追加したりすることができます。難読化ツール Tool.Obfuscapk とパッカー Tool.ApkProtector によって保護されたアプリの検出数も、それぞれ3.22%から1.05%、10.14%から3.39%に減少しています。

以下のグラフは2024年に最も多く検出された上位10のリスクウェアです。

Tool.NPMod.1
Tool.NPMod.2
NP Managerユーティリティを使用して改造されたAndroidアプリケーションの検出名です。そのようなアプリには特殊なモジュールが組み込まれており、改造後にデジタル署名の検証をバイパスすることができます。
Tool.SilentInstaller.17.origin
Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin
Tool.SilentInstaller.6.origin
アプリケーションがAPKファイルをインストールせずに実行できるようにする、リスクウェアプラットフォームです。埋め込まれているアプリのコンテキスト内で仮想ランタイム環境を作成します。これらのプラットフォームを使用して起動されたAPKファイルは、アプリの一部であるかのように動作し、アプリと同じ権限を取得します。
Tool.Packer.1.origin
Androidアプリケーションを不正な改変やリバースエンジニアリングから保護するよう設計されたパッカーツールです。このツール自体は悪意のあるものではありませんが、無害なアプリケーションだけでなく悪意のあるアプリケーションを保護するために使用される可能性があります。
Tool.LuckyPatcher.1.origin
Androidデバイスにインストールされたアプリを改変できるようにする(パッチを作成する)ツールです。アプリの動作ロジックを変更したり特定の制限を回避したりする目的で使用されます。たとえば、ユーザーはこのツールを使用することで、バンキングアプリのルートアクセス検証を無効にしたり、ゲーム内で無限のリソースを取得したりできます。パッチを追加するために、このユーティリティは特別に作成されたスクリプトをインターネットからダウンロードしますが、このスクリプトは誰でも作成して共通のデータベースに追加することができます。そのようなスクリプトの機能が悪意のあるものである場合もあることから、このツールを使用して作成されたパッチは潜在的な脅威となる可能性があります。
Tool.Androlua.1.origin
スクリプト言語Luaを使用してAndroidアプリを開発するための特別なフレームワークの、潜在的に危険なバージョンの検出名です。Luaベースアプリの主なロジックは、実行時に対応するスクリプトがインタプリタによって暗号化・復号化されるというものです。多くの場合、このフレームワークは動作するためにデフォルトで多数のシステム権限へのアクセスを要求します。その結果、フレームワークが実行するLuaスクリプトによって、取得した権限に応じたさまざまな悪意のある動作が実行される可能性があります。
Tool.Packer.3.origin
NP Managerツールを使用してコードが暗号化および難読化されているAndroidプログラムの検出名です。

アドウェア

2024年に最も多く検出されたアドウェアは新たな Adware.ModAd ファミリーで、アドウェア検出数全体の47.45%を占めました。2023年に首位に立っていた Adware.Adpush ファミリーは14.76%(21.06ポイント減)を占めて2位に後退しています。8.68%を占めて3位となったのは、また別の新たなアドウェアファミリー Adware.Basement でした。

そのほか、Adware.Airpush (8.59%から4.35%に減少)、Adware.Fictus (4.41%から3.29%に減少)、 Adware.Leadbolt (4.37%から2.26%に減少)、Adware.ShareInstall (5.04%から1.71%に減少)ファミリーに属するアドウェアも多く検出されています。2023年に2位を占めていたアドウェア Adware.MagicPush の活動は大幅に減少し、上位10にとどまることすらなく、アドウェア検出数全体のわずか1.19%(8.39ポイント減)を占めて11位に転落しました。

以下のグラフは2024年に最も多く検出された上位10のアドウェアです。

Adware.ModAd.1
その機能に特定のコードが挿入されている、WhatsAppメッセンジャーのMod(改造版)です。このコードはメッセンジャーの動作中にWebコンテンツを表示(Android WebViewコンポーネントを使用して)させることで目的のURLをロードします。これらのURLから、オンラインカジノやブックメーカー、アダルトサイトなどの広告サイトへのリダイレクトが実行されます。
Adware.Basement.1
迷惑な広告を表示するアプリです。多くの場合、それらの広告は悪意のあるサイトや詐欺サイトにつながっています。このアプリには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されています。
Adware.Fictus.1
Adware.Fictus.1.origin
net2shareパッカーを使用して、人気のAndroid アプリやゲームのクローンバージョンに組み込まれるアドウェアモジュールです。この方法で作成されたアプリのコピーはさまざまな配信ストアから拡散され、Androidデバイス上にインストールされると迷惑な広告を表示します。
Adware.Adpush.21846
Adware.AdPush.39.origin
Androidアプリに組み込まれるアドウェアモジュールのファミリーです。ユーザーを騙すような紛らわしい、広告を含んだ通知(オペレーティングシステムからの通知に似せたものなど)を表示させます。また、さまざまな機密情報を収集し、別のアプリをダウンロードしてインストールを開始することができます。
Adware.Airpush.7.origin
Androidアプリに組み込まれ、さまざまな広告を表示するアドウェアモジュールのファミリーです。表示されるものはモジュールのバージョンや亜種によって異なり、広告を含む通知やポップアップウィンドウ、バナーなどがあります。多くの場合、攻撃者はユーザーにさまざまなソフトウェアをインストールするよう促してマルウェアを拡散させる目的で、これらのモジュールを使用しています。さらに、これらモジュールは個人情報を収集してリモートサーバーに送信します。
Adware.ShareInstall.1.origin
Androidアプリに組み込まれるアドウェアモジュールです。Android OSのロック画面に広告を含んだ通知を表示します。
Adware.Youmi.4
Androidデバイスのホーム画面に広告ショートカットを追加する、望ましくないアドウェアモジュールの検出名です。
Adware.Inmobi.1
InmobiのアドウェアSDKの一部バージョンの検出名です。電話をかけたり、Android デバイスのカレンダーにイベントを追加したりできます。

Google Play上の脅威

2024年、Doctor WebのウイルスアナリストはGoogle Playで200を超える脅威を発見しました。これらは合計で2,670万件以上ダウンロードされています。それら脅威の中には前出の Android.Click.414.origin のほか、広告を表示させるトロイの木馬 Android.HiddenAds が含まれていました。このトロイの木馬は写真編集アプリやQRコードスキャナ、画像集アプリ、さらにはスマートフォンを悪用から守る「アンチセフト(盗難防止)」アラームなど、あらゆる種類のアプリを装って拡散されていました。 Android.HiddenAds はインストールされると自らのアイコンを隠し、OSや他のプログラムのインターフェース上に重ねて迷惑な広告を表示させ、デバイスの使用を妨げます。

2024年にGoogle Playで発見されたアドウェア型トロイの木馬の例: Android.HiddenAds.4013 は写真編集アプリ「Cool Fix Photo Enhancer」に潜み、 Android.HiddenAds.4034 は画像集アプリ「Cool Darkness Wallpaper」、Android.HiddenAds.4025 はQRコード読み取りアプリ「QR Code Assistant」、 Android.HiddenAds.656.origin は「アンチセフト」アラームアプリ「Warning Sound GBD」に隠されていた

高度なソフトウェアパッカーで保護されたトロイの木馬も発見されています。

アプリ「Lie Detector Fun Prank」と「Speaker Dust and Water Cleaner」はソフトウェアパッカーで保護されたトロイの木馬 Android.Packed.57156Android.Packed.57159 だった

さまざまな詐欺スキームに用いられる Android.FakeApp ファミリーに属するトロイの木馬も発見されました。これらトロイの木馬の多くは特定のWebサイトを開くことを主な目的としていますが、 中には一定の条件下で実際にアプリとしてうたわれた機能を実行するものもあります。2024年に発見された Android.FakeApp トロイの木馬の多くは金融関連アプリ(教材やチュートリアル、利益計算アプリ、トレーディングにアクセスするためのアプリ、家計簿アプリなど)、メモ帳や日記帳、 クイズゲームやアンケートに参加するためのアプリなどといったさまざまなアプリを装って拡散されていました。これらのアプリは詐欺投資サイトを開きます。

詐欺サイトへのリンクを開く Android.FakeApp トロイの木馬の例:アプリ「SenseStrategy」に偽装した Android.FakeApp.1681 、アプリ「QuntFinanzas」に偽装した Android.FakeApp.1708

また別の Android.FakeApp トロイの木馬は、さまざまなゲームを装って拡散されていました。これら偽アプリの多くは実際にゲームとして動作する機能も備えていましたが、主なタスクはオンラインカジノやブックメーカーのサイトを開くことでした。

ゲームを装いオンラインカジノやブックメーカーのサイトを開く Android.FakeApp トロイの木馬の例: Android.FakeApp.1622 (「3D Card Merge Game」)、Android.FakeApp.1630 (「Crazy Lucky Candy」)

求人検索アプリを装った Android.FakeApp トロイの木馬も引き続き発見されています。これらの偽アプリは架空の求人情報が掲載された詐欺サイトを開き、個人情報を入力して履歴書を作成するようユーザーに勧めます。 また、メッセンジャーを使用して「雇用主(実際には詐欺師)」に連絡するよう指示するケースもあります。詐欺師は連絡してきたユーザーをさまざまな詐欺スキームに引き込もうと狙っています。

求人検索アプリを装った Android.FakeApp トロイの木馬の例: Android.FakeApp.1627 (「Aimer」)、 Android.FakeApp.1703 (「FreeEarn」)

ユーザーを有料サービスに登録するトロイの木馬もGoogle Playで発見されています。そのうちの1つである Android.Subscription.22 は写真編集アプリ「InstaPhoto Editor」を装って拡散されていました。

ユーザーを有料サービスに登録するよう設計されたトロイの木馬 Android.Subscription.22

モジュラー構造を持つ Android.JokerAndroid.Harly ファミリーも、ユーザーを有料サービスに登録するまた別のトロイの木馬です。Android.Joker は追加のコンポーネントをインターネットからダウンロードすることができますが、Android.Harly は必要なモジュールを暗号化してファイルリソースに保存することが多いという点で異なっています。

ユーザーを有料サービスに登録するアプリの例: Android.Joker.2280 は星占いアプリ「My Horoscope」に、Android.Harly.87 はゲーム「BlockBuster」に潜んでいた

マルウェアに加えて、Program.FakeMoney.11Program.FakeMoney.14 のさまざまな亜種など、 望ましくないアプリも新たなものがGoogle Play上で発見されました。これらは、さまざまなタスク(多くの場合、広告の視聴)を完了することで仮想報酬を稼ぐことができるとうたうファミリーに属するトロイの木馬です。 報酬は現金や賞品に交換することができるとされていますが、「稼いだ」報酬を引き出すには一定の金額を貯める必要があります。たとえその金額が貯まったとしても結局ユーザーが実際にお金を受け取ることはありません。

Program.FakeMoney.11 の亜種の1つはゲーム「Copper Boom」を装い、Program.FakeMoney.14 はゲーム「Merge Party」を装って拡散されていた

2024年を通して、新たなアドウェアも発見されています。それらの中には、さまざまな広告サービスプロバイダの広告を表示するアドウェアモジュール Adware.StrawAd が組み込まれたアプリやゲームがありました。

アドウェアモジュール Adware.StrawAd: が組み込まれたゲームの例:「Crazy Sandwich Runner」( vir>Adware.StrawAd.1 )、 「Poppy Punch Playtime」( Adware.StrawAd.3 )、 「Finger Heart Matching」( Adware.StrawAd.6 )、 「Toimon Battle Playground」( Adware.StrawAd.9 )

アドウェア Adware.Basement もGoogle Playから拡散されていました。多くの場合、Program.FakeMoney.11 によって表示される広告は悪意のある詐欺サイトにつながっています。このファミリーには望ましくないアプリ Program.FakeMoney.11 と同じコードベースが使用されているという点は特筆に値します。

望ましくないアドウェア Adware.Basement を含んだアプリの例:「Lie Detector: Lie Prank Test」、「TapAlarm:Don't touch my phone」、「Magic Voice Changer」(すべて Adware.Basement.1 )、 「Auto Clicker:Tap Auto」( Adware.Basement.2 )

バンキング型トロイの木馬

モバイルデバイス 向けDr.Web Security Spaceによって収集された検出統計によると、2024年に検出されたバンキング型トロイの木馬のマルウェア検出数全体に占める割合は2023年比2.71ポイント増の6.29%となりました。 その活動は1月以降着実に減少しましたが、春中頃から再び増加に転じています。第3四半期を通じてほぼ横ばいで推移した後、再び増加を始めて11月にピークに達しました。12月にはすでに顕著な減少が確認されています。

2024年にも、よく知られたバンキング型トロイの木馬のファミリーが再び広く拡散されました。 Coper、 Hydra(Android.BankBot.1048.originAndroid.BankBot.563.origin )、 Ermac(Android.BankBot.1015.originAndroid.BankBot.15017 )、 Alien(Android.BankBot.745.originAndroid.BankBot.1078.origin )、 Anubis( Android.BankBot.670.origin )、 Cerberus ( Android.BankBot.11404 )、 GodFather( Android.BankBot.GodFather.3Android.BankBot.GodFather.14.origin )Zanubis( Android.BankBot.Zanubis.7.origin )などのバンキング型トロイの木馬ファミリーによる攻撃が確認されています。

2024年を通じて、多彩な悪意のある機能を備えたスパイウェア型トロイの木馬 Android.SpyMax が盛んに拡散されました。 これらトロイの木馬はバンキング型トロイの木馬としても広く用いられています。元々このファミリーに含まれていたのは多機能RAT(リモートアクセス型トロイの木馬)であるSpyNoteでしたが、ソースコードが流出した後、 それをベースにしたCraxsRATやG700 RATなどの新たな亜種が多数登場し始めました。Dr.Web Security Spaceの検出統計によると、このファミリーに属するトロイの木馬の活動は2023年の後半から活発化し始め、 その検出数はほぼ毎月増加し続けています。この傾向は現在も続いています

Android.SpyMax は世界中のユーザーを標的としています。2024年には、ロシアのユーザーに対する攻撃が多くみられ、 Android.SpyMax の46.23%がロシアユーザーのデバイスで検出されたものでした。そのほか、ブラジル(35.46%)とトルコ(5.80%)のAndroidユーザーに対しても活発に拡散されています。

ここで注目したいのは、ロシアにおける Android.SpyMax の拡散がスパムや従来のフィッシングを通じて行われているのではなく、 電話詐欺から始まっているという点です。まず脅威アクターは銀行員や警察官を装ってユーザーに電話をかけ、問題が発生している(口座からお金が盗まれそうになっている、 または想定外のローンがあるなど)と告げたり、あるいは逆に政府から特別支援金を受け取ることができるという「朗報」を伝えたりします。相手が信じ込んでいるのを見てとるや、 「安全な取引」のためなどと称して「アンチウイルスのアップデート」や「バンキングアプリ」をインストールするよう勧めます。実際には、これらのアプリが Android.SpyMax トロイの木馬です。

ロシアのユーザーはバンキング型トロイの木馬Falconファミリー( Android.BankBot.988.originAndroid.Banker.5703 )とMamontファミリー( Android.Banker.637.originAndroid.Banker.712.origin )による攻撃も受けました。また、バンキング型トロイの木馬 Android.Banker.791.originAndroid.Banker.829.origin はロシアとウズベキスタンのユーザーを標的とし、 Android.Banker.802.origin がロシア、アゼルバイジャン、ウズベキスタンのユーザーを、 Android.Banker.757.origin がロシア、ウズベキスタン、タジキスタン、カザフスタンのユーザーを襲いました。

東南アジアやアジア太平洋地域を含む多くの国のユーザーを標的とするMoqHaoファミリー( Android.Banker.367.originAndroid.Banker.430.originAndroid.Banker.470.originAndroid.Banker.593.origin )による攻撃も引き続き確認され、韓国のユーザーはFakecalls( Android.BankBot.919.originAndroid.BankBot.14423Android.Banker.5297 )、 IOBot( Android.BankBot.IOBot.1.origin)、Wroba( Android.Banker.360.origin)による攻撃も受けました。 Wrobaの別の亜種( Android.BankBot.907.originAndroid.BankBot.1128.origin )は日本のユーザーも襲っています。

中国のユーザーは Android.Banker.480.origin などのバンキング型トロイの木馬の標的となり、ベトナムのユーザーは Android.BankBot.1111.originの攻撃を受けました。TgToxic( Android.BankBot.TgToxic.1 )はインドネシア、タイ、台湾のユーザーを襲い、 GoldDigger( Android.BankBot.GoldDigger.3 )はタイとベトナムのユーザーを攻撃しました。

イランのユーザーを標的としたバンキング型トロイの木馬( Android.Banker.709.originAndroid.Banker.5292Android.Banker.777.originAndroid.BankBot.1106.origin など)も再び拡散され、トルコのユーザーはTambir( Android.BankBot.1104.originAndroid.BankBot.1099.originAndroid.BankBot.1117.origin )などの標的となりました。

Android.Banker.797.originAndroid.Banker.817.originAndroid.Banker.5435 などのバンキング型トロイの木馬はインドのユーザーを標的とし、Airtel Payments Bank(エアテル・ペイメンツ・バンク)、PM KISAN(プラダン・マントリ・キサン・サンマン・ニディ)、 IndusInd Bank(インダスインド銀行)などの金融機関と関連があるアプリを装っていました。 Rewardstealファミリーに属するバンキング型トロイの木馬( Android.Banker.719.originAndroid.Banker.5147Android.Banker.5443 )も未だ活発で、同じくインドのAxis bank(アクシス銀行)、 HDFC Bank(HDFC銀行)、SBI、ICICI Bank(ICICI銀行)、RBL bank(RBL銀行)、Citi bank(シティバンク)などの銀行利用者が主な標的となりました。

ラテンアメリカ諸国ではブラジルの銀行利用者を標的としたバンキング型トロイの木馬PixPirate( Android.BankBot.1026.origin )が引き続き確認されています。

欧州のユーザーを狙ったバンキング型トロイの木馬にはAnatsa( Android.BankBot.Anatsa.1.origin )とCopybara( Android.BankBot.15140Android.BankBot.1100.origin )があり、後者は主にイタリア、英国、スペインのユーザーを標的としていました。

2024年には、Androidマルウェア、なかでも特にバンキング型トロイの木馬を分析や検出から保護するための特定の方法が広く用いられるようになっていることが、 Doctor Webのウイルスアナリストによって確認されました。とりわけ攻撃者の人気を集めているのが、Android のAPKがベースにしているZIP形式に手を加える手口です。 その結果、標準アルゴリズムを使用してZIPアーカイブを扱う多くの静的解析ツールは、そのような「破損した」ファイルを正しく処理することができなくなります。そのうえ、 Android OSは改変されたそのようなトロイの木馬を通常のアプリケーションとして認識し、それらのインストールと実行を許可してしまいます。

最も多く使用されている手法の1つがAPKファイルのローカルファイルヘッダ内のフィールド compression methodcompressed size を改変するというものです。脅威アクターは compressed sizeuncompressed size フィールドにわざと間違った値を指定したり、 compression method フィールドに正しくない圧縮方法や存在しない圧縮方法を書き込んだりしています。あるいは、アーカイブに対して圧縮なしの方法を指定する場合もあります。これにより、一致するはずの compressed sizeuncompressed size ヘッダーフィールドが一致しなくなります。

もう1つのよく見られる手法は、ECDR(End of Central Directory Record:中央ディレクトリの終わりレコード)とCD(ファイルやアーカイブパラメータに関するデータが格納される中央ディレクトリ)内のディスクに関する情報を誤ったものにするというものです。単一のアーカイブの場合、これらのパラメータは一致します。サイバー犯罪者はこれらに異なる値を指定することで、単一アーカイブを複数のアーカイブであるかのように見せかけます。

さらに、アーカイブ内にあるファイルのローカルファイルヘッダに、それらが暗号化されていることを示すフラグをセットするという手法も広く使用されています。実際にはファイルは暗号化されていませんが、この操作の結果アーカイブが正しく解析されなくなります。

APKの構造に手を加えるのでみなく、Androidアプリの AndroidManifest.xml 設定ファイルを改ざんするなどといった別の手口も確認されています。攻撃者はこのファイルの属性構造にガベージバイト b'\x00' を追加することで、ファイルが正しく読み取られないようにしていました。

今後の動向と展望

2024年にも、サイバー犯罪者は依然としてAndroidユーザーを犠牲にして収益を得ることに精を出していました。そのツールとして主に使用されているのは、これまで同様、広告を表示させるトロイの木馬やバンキング型トロイの木馬、スパイウェア機能を備えた悪意のあるアプリ、詐欺アプリです。したがって、2025年にもこの種の新たな脅威が出現するものと考えられます。

Google Playではセキュリティを強化するための措置が講じられているものの、依然としてAndroid脅威の拡散源の1つとなっています。今後もGoogle Play上に新たな悪意のあるアプリや望ましくないアプリが出現する可能性は否定できません。

2024年にはAndroid TVボックスの新たな感染事例も確認され、サイバー犯罪者の使用する攻撃ベクター(攻撃ベクトル)の多様化が示されました。犯罪者は引き続きAndroid TVボックスに狙いを定める一方で、さまざまなAndroidガジェットの中から新たな攻撃対象となりうるものを見つけようと模索し続けるでしょう。

2025年にも、マルウェア開発者は悪意のあるプログラムの解析や検出を回避するための新たな技術を引き続き積極的に組み込んでくるものと予想されます。

Doctor Webではモバイルデバイスを狙うサイバー脅威の進化と状況を監視し続け、ユーザーに対する確実な保護を提供してまいります。セキュリティを強化するため、Dr.Web Security Space for mobile devices(モバイルデバイス向けDr.Web Security Space)をインストールすることをお勧めします。これにより、悪意のあるプログラムや望ましくないプログラム、危険なプログラム、そして詐欺やその他のあらゆる脅威に対抗することができます。

Indicators of compromise(侵害の痕跡)※英語