セキュリティ研究者がAndroid/BankBot-YNRKという新しいモバイルバンキング型トロイの木馬を発見しました。このマルウェアはインドネシアおよび他の東南アジア諸国のAndroidユーザーを標的としています。
マルウェアはインドネシアの公式デジタルIDアプリ「Identitas Kependudukan Digital」に偽装した3つのサンプルが見つかっており、脅威インテリジェンス企業Cyfirmaによって追跡されています。Cyfirmaは主に Android 13 以下を狙うと報告している。Android 14 の挙動変更により一部の自動化が困難になる可能性があるが、完全な防御とは限らない
マルウェアはアクセシビリティサービスを悪用して端末を遠隔制御し、SMSをインターセプトし、パスワード、暗号資産キー、個人情報を盗出します。さらに音声アラートを無音化し、リアルタイムスクリーンショット機能で銀行アプリのUIをマッピングして認証情報を自動抽出します。
報告によると、本マルウェアは暗号資産ウォレットアプリのUIを自動操作し、シードフレーズや秘密鍵を抽出する機能を持っています。Cyfirmaは特にExodusなどのウォレットアプリを例示しており、複数のウォレット利用者が影響を受ける可能性を指摘しています。マルウェアは難読化技術、実端末とエミュレータの判別、JobSchedulerによる再起動後の永続性確保などの機能を備えています。
Intel471の分析によると、2024年のAndroidマルウェアはキーロギング、HVNC、遠隔制御機能など高度な能力を組み込むトレンドが急増しており、流出したソースコードの広範な利用可能性が技術的でない犯罪者の参入障壁を低下させています。
From: 
Android Malware Mutes Alerts, Drains Crypto Wallets
【編集部解説】
Android/BankBot-YNRKという新しいモバイルバンキング型トロイの木馬が、インドネシアを中心に東南アジア地域で急速に拡大しています。このマルウェアが注目に値する理由は、単なる金銭盗取ツールではなく、デバイスを完全に乗っ取る高度なリモートコントロール機能を備えているからです。特にアクセシビリティ機能を悪用する手法は、Google自身も対策に乗り出さざるを得ないほど深刻な問題となっています。
このマルウェアの最大の脅威は、その「見えない支配」にあります。音声アラートを完全に無音化する機能により、ユーザーが異変に気づくスキを与えません。銀行アプリやシステム通知、着信音まで無音化されるため、バックグラウンドで何が起きているか知覚することができなくなるのです。これはセキュリティ研究者の言葉を借りれば「ユーザー検出の回避」ですが、実際には被害者が自分の端末で何が起きているかを完全に隠蔽する仕組みです。
暗号資産の盗難方法は特に精巧です。Android/BankBot-YNRKはMetaMask、Trust Wallet、Coin98、Exodusなど複数のウォレットアプリをターゲットにしており、Accessibility権限を使ってウォレットアプリのUIを直接操作し、シード文字列や秘密鍵をスクリーンショットで抽出します。さらに驚くべきことに、生体認証のプロンプトまで自動的に無視することで、実際にユーザーが意図しない暗号資産の移動を実行してしまうのです。ビットコイン、イーサリアム、ライトコイン、ソラナといった主要な暗号資産すべてが狙われています。
技術的には、このマルウェアは高い「環境認識能力」を持っています。実機とエミュレータを判別し、分析環境での検出を回避し、特定のデバイスメーカー(Xiaomi、Samsung、Vivo、Oppo/Realme、Huawei、Honorなど)と複数のデバイスモデルに対してスクリーン解像度を照合し、最適化された機能を実行します。つまり、セキュリティ研究者による自動分析からも逃れ、実際に被害を受けるリアルデバイスにのみ本来の機能を発揮するように設計されているのです。
Android 13までの端末が主なターゲットである点は、Googleのセキュリティ強化がいかに重要かを物語っています。Android 14からは、Accessibility機能による権限自動付与が禁止されたため、ユーザーが明示的に許可する必要が生じました。これによって、このマルウェアの脅威は限定的になるわけですが、逆にいえば、まだAndroid 13以下を使用している多くのユーザーが危険にさらされているということです。
社会的には、サイドロードアプリ(公式ストア外からのアプリインストール)の危険性が改めて浮き彫りになっています。このマルウェアはインドネシアの公式デジタルID「Identitas Kependudukan Digital」に偽装することで、信頼できそうに見えるアプリとしてユーザーに安心感を与えます。政府公式アプリだと思い込んでAPKを手動でインストールしてしまうユーザーが、最大の被害を受ける構図です。
規制面では、本件はGoogleとセキュリティ業界に新たな課題を提起しています。高度に進化し続けるAndroidマルウェアに対抗するには、単にOS側の防御を強化するだけでなく、キャリア、アプリストア事業者、セキュリティ企業が連携した多層防御が必須です。特に東南アジアのような新興市場では、サイバーセキュリティインフラの整備がまだ十分ではないため、今後被害が急速に拡大する可能性があります。
長期的な視点からは、このような脅威の進化はモバイル環境全体の信頼性を揺るがし、ユーザーの行動変容を促す可能性があります。多くのユーザーが暗号資産やモバイルバンキングを敬遠し始めれば、デジタル金融の普及にも影響が出かねません。一方で、本件は企業や組織に対して、従業員のモバイルセキュリティ教育の重要性を強く認識させるきっかけにもなるでしょう。
【用語解説】
Android/BankBot-YNRK
インドネシアを中心に東南アジアで活動する新型モバイルバンキング型トロイの木馬。Cyfirmaによって2025年10月に報告された。Android 13以前の端末を主にターゲットとし、銀行アプリおよび暗号資産ウォレットから資金を盗み出す。
アクセシビリティサービス
Androidの標準機能で、視聴覚障がい者や身体障がい者がスマートフォンを使いやすくするためのサポート機能。画面の操作自動化、テキスト読み上げ、カスタム操作に対応。同時に、この権限を得たアプリはデバイスの全操作を支配できるため、悪意のあるアプリに悪用されるケースが増加している。
難読化技術
プログラムコードの構造や意味を意図的に複雑にして、セキュリティ分析ツールやセキュリティ研究者による検出や解析を困難にする技術。マルウェアの機能を隠蔽するために使用される。
シード文字列(シードフレーズ)
暗号資産ウォレットのバックアップおよび復旧用に使用される、通常12~24語からなる文字列。この情報が流出すると、第三者はウォレットの全資金にアクセス可能になる。
秘密鍵
暗号資産ウォレットにアクセスし、トランザクションに署名するための極秘情報。秘密鍵が盗まれると、攻撃者はウォレットの所有者になりすまして資金を移動できる。
NFCリレー悪用
Near Field Communication(近距離通信)機能を悪用する攻撃手法。非接触型決済やアクセスカード情報を中継して盗み出す。
Identitas Kependudukan Digital
インドネシア政府が提供する公式デジタル身分証アプリ。国民の身分情報をデジタル化したもの。本マルウェアはこれに偽装することで信頼性を獲得し、ユーザーをだましてAPKをインストールさせる。
APK(Android Package Kit)
Androidアプリケーションを配布・インストールするための標準ファイル形式。公式アプリストア(Google Play Store)外からのインストール(サイドロード)では、このAPKファイルが直接使用される。
JobScheduler
Androidの機能の一つで、特定の条件下で定期的なタスクをスケジュール実行できる。デバイスの再起動後も動作継続するため、マルウェアの長期的な活動維持に利用される。
サイドロードアプリ
Google Play Storeなどの公式アプリストア以外のソースからアプリを直接インストールすること。利便性がある一方で、セキュリティチェックを経ていないため、マルウェア感染のリスクが高い。
【参考リンク】
Cyfirma(外部)
脅威インテリジェンス企業。AI駆動型プラットフォームで企業を守る
Google Android Security & Privacy(外部)
Androidのセキュリティ情報と最新アップデートを提供
Intel471(外部)
脅威インテリジェンスとマルウェア分析の専門企業
【参考記事】
Investigation Report: Android/BankBot-YNRK Mobile Banking Trojan(外部)
本マルウェアの詳細な技術分析。デバイス検出ロジックと暗号資産標的情報を収録
Next-Gen Android Banking Trojan Hides in Digital ID App(外部)
マルウェア配信メカニズムと複数暗号資産対応状況の詳細解説
Analysis of a malware exploiting Android accessibility services(外部)
Android Accessibility機能悪用の広範なトレンドと防御策を解説
Accessibility Service – An Android Blessing and a Security Challenge(外部)
アクセシビリティ機能の二面性とAndroid 13以降の権限処理を詳説
Crypto Wallet Protection: Security with Cybersecurity as a Service(外部)
暗号資産ウォレット脅威の分類と対策方法を包括的に解説
Crypto Wallet Security | Mobile Security Glossary(外部)
秘密鍵保管やMFA等の高度な防御技術をユーザー向けに説明
【編集部後記】
セキュリティ脅威は、実は選択肢を狭めていく。Android/BankBot-YNRKのような高度なマルウェアが登場するたびに、私たちユーザーが気づくのは「結局、長期的に安全なメーカーは限られている」という冷たい現実です。
2025年現在、メーカー別のアップデートサポート期間を見ると、構図は明らかになります。Google Pixelは8シリーズ以降7年間のOSおよびセキュリティアップデートを保証し、Samsungも同様に上位モデルで7年間のサポートを提供しています。一方、XperiaやAQUOS、その他のサードパーティメーカーは3~5年程度が基本となっており、中には2~3年で打ち切られるモデルも少なくありません。
今回のマルウェアが「Android 13以前」をターゲットにしているという点は象徴的です。2022年8月にリリースされたAndroid 13は、もはや2025年では3年以上前のOSとなっています。Xperia 1やAQUOS R7といった高級フラッグシップでさえ、3年のOSアップデートと5年のセキュリティアップデートが標準ですから、購入から4~5年経つと次々とサポートが打ち切られるのです。
買い替え周期が3~5年というのは、日本のスマートフォン市場では一般的です。しかし、Android/BankBot-YNRKのような脅威を考えると、「買い替え時期 = セキュリティサポート終了時期」という方程式は危険極まりありません。銀行口座、暗号資産、個人情報——デバイスに保存されている金銭的価値は年を重ねるごとに増えていくというのに、セキュリティサポートは失われていくのです。
結果として、金銭的な安全を優先するなら、実質的に選択肢はPixelかGalaxy(少なくともフラッグシップ以上)に限定されます。これは多様性を重視してきたAndroidエコシステムの大きな転換点です。「スマートフォンの民主化」を標榜してきたAndroidが、セキュリティという名目で、ユーザーの選択肢を制限せざるを得なくなっているのです。
今、私たちが直面しているのは、新機能や性能の進化ではなく、より根本的な問いかけです。「デバイスを長く安全に使いたい」という当たり前の欲求が、メーカー選びを急激に限定させている。Android/BankBot-YNRK事例は、単なる一つのマルウェアの話ではなく、スマートフォン市場全体の構造的な変化を示唆しているのかもしれません。あなたのスマートフォンが本当に安全か。改めて考えてみる価値があるでしょう。
