メインコンテンツにスキップする

Kaspersky Lab、暗号通貨の採掘からDDoS攻撃まで、多くの機能を持つAndroid向けトロイの木馬「Loapi」を発見

2017年12月19日

複数モジュールを搭載するAndroid向けの新しいトロイの木馬「Loapi」は、悪意ある多くの機能を実行できるほか、自己防衛機能も備えています。Loapiが感染デバイスに非常に大きな負荷をかけたため、加熱しバッテリーが変形する事象も確認しました。

[本リリースは、2017年12月18日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labのリサーチャーは、複数モジュールを搭載するAndroid向けの新しいトロイの木馬「Loapi」を発見しました。モジュール型アーキテクチャにより、暗号通貨の採掘からDDoS攻撃まで、悪意ある多くの機能を実行でき、さらに機能の追加が可能なことも判明しました。

バンキング型トロイの木馬や暗号通貨の採掘用トロイの木馬など、数ある単機能のAndroid向けマルウェアと比較してLoapiが突出している点は、複雑なモジュール型アーキテクチャを備え、侵入したデバイスでさまざまな行為をほぼ無制限に実行できることにあります。

Loapiは、アンチウイルス製品や成人向けアプリなどを装った広告キャンペーンによって拡散します。インストール完了後にはデバイスの管理者権限を要求し、その後密かに指令サーバーとの通信を開始して、そのほかのモジュールをインストールします。

このアーキテクチャに含まれるモジュールと用途は次のとおりです。

  • アドウェアモジュール :ユーザーのデバイスに積極的に広告を表示する
  • SMSモジュール :テキストメッセージに関するオペレーションを実行する
  • Webクローラーモジュール :ユーザーに気づかれずに有料サービスに登録する。SMSモジュールがメッセージを非表示にし、Webクローラーモジュールが必要に応じてメッセージに返答し、その後すべての「証拠」を消去する。
  • プロキシモジュール :攻撃者がデバイスに代わってHTTPリクエストを実行できるようにする。このような操作は、DDoS攻撃を目的とする場合がある
  • Moneroマイナーモジュール :暗号通貨Monero(XMR)の採掘を実行する

上記以外にも、Loapiは自己防衛機能を備えています。ユーザーがデバイスの管理者権限を取り消そうとすると、Loapiが直ちにデバイスの画面をブロックし、ウィンドウを閉じます。また、Loapiにとって危険なアプリケーション(多くの場合、このマルウェア駆除を目的としたセキュリティソリューション)のリストを指令サーバーから受信することもできます。リストに掲載されているアプリケーションがインストールまたは実行されていた場合は、悪意あるソフトウェアが発見されたという偽のメッセージを表示し、ユーザーにそのアプリケーションの削除を促します。ユーザーが削除を拒否しても、繰り返し何度でも表示されるため、最終的には同意せざるを得なくなります。

Kaspersky Labのリサーチャーは、Loapiの自己防衛機能以外にも、注目すべき事象を確認しました。無作為に選んだ1台のAndroidスマートフォンでテストしたところ、Loapiが感染デバイスに非常に大きな負荷をかけたため、加熱しバッテリーが変形しました。開発者の目的は、マルウェアを稼働させ続けて可能な限り多額の金銭を窃取することにあるため、これは意図した結果ではないと考えられます。しかし、マルウェアの最適化が不十分なことから、この予想外の物理的な「攻撃方法」が発生し、ユーザーのデバイスに深刻な損傷を与える可能性が生じています。

調査の結果、Loapiは「Trojan.AndroidOS.Podec」と関連している可能性があることが判明しました。その根拠は、どちらのトロイの木馬も、まず指令サーバーのために同様の情報を収集している点と、使用されている難読化技術に共通点があるためです。

Kaspersky Labのセキュリティエキスパート、ニキータ・ブーチカ(Nikita Buchka)は次のように述べています。「Loapiは、考えられる限りほぼすべの機能を設計に落とし込んでいるという点で、Android向けマルウェアを代表する興味深い例となっています。多機能な理由は、いったん侵入に成功すれば、そのデバイスをさまざまな悪意ある行為に利用して金銭を窃取することが格段に容易になるためです。また、クレジットカードデータを窃取してユーザーに直接経済的な被害を与えることはできないとしても、スマートフォンが壊れてしまう意外なリスクがあります。このようなリスクは、Android向けトロイの木馬で想定されるものにも、高度なトロイの木馬にもありません」

 Kaspersky Labでは、サイバー攻撃のリスクからデバイスやプライベートデータを保護するために、次の対策を推奨しています。

  • 公式ストア以外のサイトからアプリをインストールする機能を無効にする
  • デバイスのOSを最新の状態に保ち、ソフトウェアの脆弱性を減らし、攻撃のリスクを抑える
  • 実績あるセキュリティソリューションを利用し、デバイスをサイバー攻撃から保護する
  • アプリケーションのインストール時には、要求する権限を必ず確認する

Loapiトロイの木馬の詳細については、Securelistブログ「Jack of all trades」(英語)をご覧ください。

Kaspersky Lab、暗号通貨の採掘からDDoS攻撃まで、多くの機能を持つAndroid向けトロイの木馬「Loapi」を発見

複数モジュールを搭載するAndroid向けの新しいトロイの木馬「Loapi」は、悪意ある多くの機能を実行できるほか、自己防衛機能も備えています。Loapiが感染デバイスに非常に大きな負荷をかけたため、加熱しバッテリーが変形する事象も確認しました。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース