2016年最大のモバイルマルウェアは、Androidのルート権限を悪用するモバイル広告に潜むトロイの木馬

[本リリースは、2017年2月28日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labがモバイルマルウェアに関する調査をまとめた結果、2016年は2015年の約3倍となる850万件の悪意あるモバイルマルウェアを検知しました^※。この数は、わずか1年間で過去11年間に検知したすべてのモバイルマルウェア (2004年～2015年に1,577万件) のおよそ半分に相当します。その大きな原因がモバイル広告に潜むトロイの木馬で、その種類は不正プログラムの上位20種のうち、2015年の12種から16種に増えています。

■ 2016年　カスペルスキー製品での観測

• 400万台以上のAndroidデバイスでモバイルマルウェアによる約4,000万件の攻撃を確認 (2015年は260万台)
• モバイルランサムウェア型トロイの木馬のインストールパッケージは2015年比で8.5倍増の260,000件以上が検出(2015年より約8.5倍増加)
• 153,000台以上のAndroidデバイスでモバイルランサムウェアの攻撃を検知 (2015年より1.6倍増加)
• 128,000件以上のモバイルバンキング型トロイの木馬を検出 (2015年より約1.6倍増加)

■ Androidデバイスをルート化するモバイル広告に潜むトロイの木馬

2016年に最も蔓延したマルウェアはモバイル広告に潜むトロイの木馬で、マルウェアプログラム上位20種の16種を占めています。このマルウェアはルート権限を奪い、感染したデバイスに広告を過剰に表示するだけでなく、デバイスを使用できなくしたり、その他のアプリケーションを無断でインストールしたりするほか、Google Playのアプリを勝手に購入することもできます。

多くの場合、既知の脆弱性を突くエクスプロイトを用いていますが、ユーザーが端末を最新版にアップデートしていないことが原因です。

さらに、この種のマルウェアは、システムディレクトリにモジュールを同時にインストールするため、感染したデバイスの復旧が非常に難しくなります。 このマルウェアの亜種には、リカバリー領域に感染するものもあり、デバイスを初期化しても復旧することができなくなります。

このような悪意のあるソフトウェアの代表的なものは、ポケモンGOのガイドアプリになりすましているアプリで、そのほかにも公式のGoogle Playアプリストアでいくつも発見されています。 　　この偽アプリは500,000回以上ダウンロードされており、カスペルスキー製品では、Trojan.AndroidOS.Ztorg.ad名で検知・ブロックします。

■ さらなる開発が進むモバイルランサムウェア

2016年には、167か国の153,258人のユーザーが、ランサムウェアによる攻撃を受けました。この数は2015年の1.6倍です。

最新のランサムウェアは、要求メッセージをオーバーレイで表示し、デバイスの操作を妨害します。この方法は、2016年に最も蔓延したモバイルランサムウェア (Trojan-Ransom.AndroidOS.Fusob) でも利用された手口です。

このランサムウェアによる攻撃を受けたユーザーが多い国は、ドイツ、アメリカ、イギリスで、CIS諸国では少なくなっています。 このマルウェアが起動すると、デバイスで使用している言語を確認し、一定の成果を得ると実行を停止します。サイバー犯罪者たちは、デバイスのロック解除に100ドルから200ドルを要求します。 この身代金の支払いには、プリペイド式iTunesカードのコードが用いられます。

■ 急増するモバイルバンキング型トロイの木馬

• モバイルバンキング型トロイの木馬による攻撃を受けたユーザー数は、2015年には137か国　の56,000以上でしたが、2016年には164か国の305,000以上へと急増しています。
• モバイルマルウェアの攻撃を受けたすべてのユーザーの中で、モバイルバンキング型トロイの木馬による攻撃を受け感染したユーザーの割合が高かった上位3か国は、ロシア、オーストラリアおよびウクライナでした。

常に進化を続けるモバイルバンキング型トロイの木馬の多くは、新しいAndroidセキュリティ対策をすり抜けるツールを備え、最新版OSからユーザー情報を盗み続けています。 またマルウェア開発者たちは同時に、新しい機能を使い性能の強化を繰り返しています。 例えば、Marcherファミリーは、バンキングアプリの偽のウィンドウを表示する従来の方法だけでなく、ユーザーを金融機関のウェブサイトからフィッシングページに誘導することもあります。

■「ダークウェブ」

国際刑事警察機構（インターポール）のサイバー犯罪対策組織の専門家によると、ダークウェブは、違法なビジネスや活動を行っている組織にとって魅力的な媒体であり続けています。 高い匿名性、低価格かつクライアント主導の戦略を備えたダークウェブは、犯罪者が商取引を行い、モバイルマルウェアキットを含む様々な製品やサービスの売買を行うための手段を提供する場となっています。 モバイルマルウェアは、専門企業が開発したようなソフトウェアパッケージ (リモートアクセス型トロイの木馬など)、個別ソリューションや洗練されたツールとして、または「サービスとしてのボット」モデルの一部として販売されます。 モバイルマルウェアはまた、ベンダーショップ、掲示板やソーシャルメディアの「興味の対象」でもあります。

本レポートでは、インターポールのサイバー犯罪対策組織IGCI（INTERPOL Global Complex for Innovation）の専門家による、ダークウェブにおけるモバイルマルウェアの分析を寄稿いただきました。

レポートの全文（英語）はSecurelistブログ「Mobile malware evolution 2016」（英語）をご覧ください。

Kaspersky Lab USAのシニアマルウェアアナリスト、ロマン・ユヌチェク（Roman Unuchek）は次のように述べています。「2016年は、ルート権限を悪用する広告に潜むトロイの木馬が増加し続けました。 これは年間を通じて最大の脅威となり、この傾向が変化する徴候はありませんでした。 サイバー犯罪者たちは、多くのデバイスがOSのアップデートを行っていないなど、最新の状態を保っていないため、旧式かつ既知の脆弱性があり、エクスプロイトを用いています。 さらに、モバイルランドスケープは既にサイバー犯罪者が密集した場所となりつつあるため、サイバー犯罪者たちは、スマートフォン以外に攻撃対象を移し始めています。 2017年には、モバイルデバイスからIoT機器への攻撃が増えることが予想されます。」

※ 上記統計情報は、Kaspersky Security Network（KSN）で取得されたものです。KSNは、カスペルスキーのアンチマルウェア製品の各種コンポーネントから情報を収集する分散型アンチウイルスネットワークで、すべての情報はユーザーの同意を得て収集されています。KSNには全世界で数千万のユーザーが参加しており、悪意のある活動に関する情報を世界規模で共有しています。