Doctor Webは1月21日(現地時間)、「Трояны семейства Android.Phantom проникают в смартфоны вместе с играми и пиратскими модами популярных приложений. Они используют машинное обучение и в - Новости компании - Dr.Web forum」において、Android端末を標的とする新たなトロイの木馬群を確認したと伝えた。

これらは「Android.Phantom」と呼ばれる一連の系統に属し、主にモバイルゲームや非公式改変アプリを通じて拡散されていた。調査対象となった不正プログラムは広告操作を目的とする機能を備え、遠隔サーバと連携して動作する点が共通している。

感染対象はAndroidスマートフォンであり、ユーザーが通常のアプリ利用を行う過程で不正挙動が進行する構造となっていた。

  • Трояны семейства Android.Phantom проникают в смартфоны вместе с играми и пиратскими модами популярных приложений. Они используют машинное обучение и в - Новости компании - Dr.Web forum

    Трояны семейства Android.Phantom проникают в смартфоны вместе с играми и пиратскими модами популярных приложений. Они используют машинное обучение и в - Новости компании - Dr.Web forum

ゲームアプリのアップデートを起点とした侵入の仕組み

調査により、Xiaomi端末向け公式配布ストアGetAppsに掲載されていた複数のゲームが感染源として特定されている。これらのタイトルは単一の開発者名義で公開され、初期版では問題が確認されなかったものの、特定時期のアップデートから不正コードが組み込まれたという。利用者は通常のアップデート操作を行うのみで不正機能を取り込む結果となっていた。

Android.Phantom.2.originは2種類の動作方式を備えている。一つは内部Webブラウーを用いて広告表示ページを読み込み、自動操作を実行する方式だ。この際、JavaScriptと機械学習用ライブラリを組み合わせ、画面情報を解析した上で広告要素を認識する仕組みが確認された。これにより、実際のユーザー操作に近い挙動が再現されていた。

もう一方の方式では、WebRTC技術を利用して外部からの接続を受け入れ、仮想画面上のWebブラウザの操作を第三者が行える状態となっていた。映像はひそかに送信され、入力操作も遠隔で制御可能だった。これらの動作切り替えや接続調整は特定サーバー群によって管理されていた。

非公式改変版アプリの危険性

さらに以降のアップデートでAndroid.Phantom.5が追加され、追加モジュールを取得する機構が拡張された。この構成により、より単純な広告操作用プログラムや情報収集用機能が段階的に導入される流れが形成されたという。配布経路はゲーム以外にも広がり、音楽や動画配信アプリの非公式改変版にも同系統の不正要素が含まれていた。

調査の結果、これらの不正アプリは複数の配布サイトやSNS、コミュニティサーバを通じて国際的に流通していたことが判明している。被害端末は通信資源の消費、情報流出、不正行為への利用といった影響を受ける可能性がある。Doctor Webは、信頼できる保護手段の導入を推奨している。