新種のAndroidマルウェア「deVixor」発見、イランの銀行利用者を標的にRATとランサム機能で脅威

新型Androidマルウェア「deVixor」の脅威

セキュリティ研究者は、Android端末を標的とする新たなマルウェア「deVixor」を確認した。
deVixorはリモートアクセス型トロイの木馬（RAT）として機能し、既存の認証情報の窃取や利用者の監視に加え、ランサムウェア機能も備えている点が特徴とされる。

同マルウェアは2025年10月ごろから活動が観測されており、特にイランの銀行利用者を重点的に狙った攻撃が確認されている。これにより、金融情報の漏えいや端末の不正制御といった深刻な被害につながる恐れがある。

deVixorの感染経路と拡散手法

deVixorは、主に偽装された自動車販売サイトを通じて拡散している。
攻撃者は、割引価格の自動車取引を装って利用者を誘導し、悪意のあるAPKファイルをダウンロードさせる手口を用いている。このAPKが端末にインストールされると、deVixorトロイの木馬がデバイス内部に侵入する。

研究者らは700件以上のサンプルを分析し、**Telegram**を用いたコマンド＆コントロール（C2）インフラと連携した大規模な感染キャンペーンが展開されていることを突き止めた。
攻撃に用いられた配布元としては、asankhodroo.shop、asan-khodro.store、naftyar.info などの詐欺サイトが確認されている。

金融情報および個人データの窃取手法

deVixorは、金融データを窃取するために複数の技術を組み合わせている。
特にSMSを介した情報収集に注力しており、端末内のメッセージを最大5,000件まで解析し、ワンタイムパスワード（OTP）、口座残高、カード番号などの機微な情報を抽出する仕組みを備えている。

また、同マルウェアはイラン国内の26行の銀行と14の暗号資産取引所を標的としており、WebViewを悪用したJavaScriptインジェクション攻撃を通じて、ログイン認証情報を不正に取得することが確認されている。

ランサムウェア機能による端末ロック

deVixorで特に懸念されているのが、遠隔操作によって発動されるランサムウェア機能だ。
攻撃者が「RANSOMWARE」コマンドを送信すると、マルウェアは被害者の端末を強制的にロックし、暗号資産による支払いを要求するメッセージを表示する。

要求画面には、TRON系の暗号資産ウォレットアドレスと、50TRXの送金を求める内容が含まれている。
このロックは端末を再起動しても解除されず、利用者はデバイスへのアクセスを完全に遮断される状態に陥る。

deVixorの進化と運用実態

deVixorの運用は、デュアルサーバー構成によって管理されている。
コマンドの受信にはFirebaseが用いられ、別系統のサーバーが窃取したデータの収集に使用されている。各APKには固有のBot IDが割り当てられ、Telegramボットを基盤とした管理パネルを通じて、感染端末の追跡および制御が可能とされる。

同マルウェアは当初、限定的な個人情報収集機能を備えるにとどまっていたが、後続のバージョンではキーロギングやランサムウェア機能、Google Play Protectの回避技術などを取り込み、機能面で大きく進化した。
最新バージョンでは、キーストロークの取得、スクリーンショットの収集、通知の監視、連絡先の抽出、ギャラリーへのアクセス、アプリの偽装など50以上のコマンドをサポートしており、端末を包括的に制御可能なリモートアクセス型ツールキットへと発展している。