2016年6月15日

株式会社Doctor Web Pacific

Doctor WebのスペシャリストはGoogle Playアプリを介して拡散される新たなトロイの木馬を発見しました。 Android.PWS.Vk.3 と名付けられたこの悪意のあるプログラムはVK（VKontakte、ロシア語ではВКонтакте：ロシアを拠点としたヨーロッパ最大のソーシャルネットワーク）ユーザーからアカウントのログイン情報を盗みます。

Android.PWS.Vk.3 はGoogle Play上で公開されている「Music from VK（Музыка из ВК）」によって拡散されており、このアプリケーションの開発者名はMixHardとなっています。Doctor Webではこのトロイの木馬についてGoogle社に報告を行いましたが、現時点で Android.PWS.Vk.3 は未だダウンロード可能な状態となっています。

このトロイの木馬はVKオーディオプレイヤーとしての全ての機能を備えています。音楽を聴くために、ユーザーはユーザー名とパスワードを入力してアカウントにログインする必要があり、その際、これらの情報は直ちにC&Cサーバーへ送信されます。その結果として、ユーザーのVKプロフィールは犯罪者の管理下に置かれることになります。

Android.PWS.Vk.3 を用いてハッキングしたこれらのユーザープロフィールをアンダーグラウンドのハッキングフォーラムで売ろうとするウイルス開発者の動きが、Doctor Webスペシャリストによって確認されています。そのほか、サイバー犯罪者はこれらのプロフィールを使用して様々なVKコミュニティへのアクセス数を増やすことができます。

Android.PWS.Vk.3 はこれまでにもMusic for VKアプリやMusic VKアプリを使用してGoogle Play経由で拡散されていましたが、これらのアプリは現在Google Playから削除されています。合計で約12,000のユーザーが Android.PWS.Vk.3 をデバイス上にインストールしています。

Android.PWS.Vk.3 の開発者は自身のVKコミュニティを持っており、そのメンバーは44,600名を超えています。これらのメンバー全員が、モバイルデバイス上に Android.PWS.Vk.3 をダウンロードするよう勧められています。

また、 Android.PWS.Vk.3 の開発者はGoogle Play上にもう1つ別のアプリケーションを公開しています。アプリケーション名は「Music and video for VK（Музыка и видео для ВК）」で、開発者はGomunkulとなっています。現時点では、このプレイヤーにはペイロードは含まれていません。

しかし、開発者がパラメータの1つを変更（または悪意のある機能を追加）し、プログラムをアップデートするだけで、この無害なプレイヤーは完全なトロイの木馬へと姿を変える可能性があります。その場合、ユーザーはこのトロイの木馬の動作に必要なプラグインをインストールするようしつこく要求されることになります。プラグインと Android.PWS.Vk.3 は同一のセキュリティ証明書を持っているという点に注意してください。

現時点で1,000,000を超えるユーザーがこのプレイヤーをダウンロードしており、いつトロイの木馬の被害にあってもおかしくない状況にあります。このプレイヤーはAndroidユーザーにとって潜在的に危険なものであることから、 Android.Click.123 という名前でDoctor Webのウイルスデータベースに追加されています。

Doctor Webでは、公式アプリケーションのみをインストールし、デバイスをアンチウイルスソフトウェアで保護するよう強く推奨しています。 Android.PWS.Vk.3 および Android.Click.123 はDr.Web for Androidによって検出・削除されます。そのため、Dr.Webユーザーに危害が及ぶことはありません。