2025年、Androidユーザーはこれまで以上に綱渡りを強いられました。マルウェア、データ窃取アプリ、SMS経由の詐欺がいずれも急増し、攻撃者はモバイルのデータとアクセスを中心にビジネスモデルを洗練させていきました。
振り返ると、2025年は単発の詐欺が、連携された、よく構造化された攻撃フレームワークにスコアボード上で置き換わった年として捉えられるかもしれません。
同じ6か月間同士—2024年12月〜2025年5月と、2025年6月〜11月—を比較すると、当社データではAndroidのアドウェア検知がほぼ倍増(90%増)し、PUP検知は約3分の2増、マルウェア検知は約半分増となりました。
私たちが6月に警告したSMSベース攻撃の大幅な増加は、2025年が「回収の年」であることを示しています。ワンタイムパスコードを盗む機能はもはや実験段階ではなく、大規模なキャンペーンに組み込まれています。
迷惑行為から重大犯罪へ
直前の1年間全体を見ると、マルウェアとPUPを合わせてAndroid検知のほぼ90%を占め、マルウェアは全体の約43%に上昇し、望ましくない可能性のあるプログラム(PUP)は45%に、アドウェアは約12%まで低下しました。
この構成は重要な物語を語っています。攻撃者は、騒がしい迷惑アプリに費やす労力を減らし、データを密かに収集したり、メッセージを傍受したり、アカウントの完全乗っ取りへの扉を開いたりできるツールに、より注力しているのです。
しかし、それはアドウェアやPUPの数が減ったからではありません。
MalwarebytesのAIおよび詐欺リサーチ責任者であるShahak Shalevは次のように指摘しました:
「ホリデーシーズンが始まったばかりかもしれませんが、サイバー犯罪者は成功するAndroidマルウェアキャンペーンのために、何か月も前から下地を作ってきました。2025年後半には、モバイル脅威の明確なエスカレーションを観測しました。MobiDashのような攻撃的なファミリーに牽引され、アドウェアの量はほぼ倍増し、PUP検知も急増しました。これは攻撃者が新しい配布メカニズムを試していることを示唆します。ホリデー期間中は警戒を怠らず、スポンサー広告やポップアップをクリックしたり、SNS経由で買い物をしたりしないよう、皆さんに強く勧めます。うますぎる話は、たいてい本当ではありません。」
何年にもわたり、Android/Adware.MobiDashはAndroidで最も一般的な望ましくないアプリの一つでした。MobiDashはアドウェアのソフトウェア開発キット(SDK)として提供され、開発者(またはリパッケージャー)が通常のアプリに組み込むことで、短い遅延の後にポップアップでユーザーを氾濫させます。2025年になっても、MobiDashファミリーだけで数千件の検知があり、月ごとの統計に繰り返し登場しています。
つまり、MobiDashのような脅威は決して消えたわけではありませんが、いまやより深刻な脅威が際立つ中で、ますます「背景ノイズ」になりつつあります。
同じく12月〜5月と6月〜11月の期間比較では、アドウェア検知はほぼ倍増し、PUP検知は約75%増、マルウェア検知はおよそ20%増となりました。
アドウェア群では、MobiDash単体の月間検知量が2025年の前半から後半にかけて100%以上増加しました。アドウェア全体がAndroid脅威の中で少数派であり続けたにもかかわらずです。私たちが測定した直近3か月だけでも、MobiDashの活動は約77%急増し、9月から11月にかけて検知が着実に増加しました。
より組織化されたアプローチ
単一の脅威を配布することに頼るのではなく、サイバー犯罪者がドロッパー、スパイモジュール、バンキング用ペイロードといったコンポーネントを連結し、キャンペーンごとに組み合わせ可能な柔軟なツールキットにしていることが分かりました。
この変化が懸念されるのは、情報窃取型がいま収集する情報の幅広さです。通話履歴や位置情報にとどまらず、多くのサンプルがメッセージングアプリ、ブラウザ活動、金融取引を監視するよう調整されており、複数の詐欺スキームで再利用できる詳細な行動プロファイルを作り出します。このデータが闇市場で収益化できる限り、こうした監視エコシステムを稼働させ続けるインセンティブは増す一方でしょう。
ThreatDown 2025 State of Malware reportが指摘するように:
「フィッシングメールと同様に、フィッシングアプリはユーザーをだましてユーザー名、パスワード、二要素認証コードを渡させます。盗まれた認証情報は販売されたり、サイバー犯罪者が価値ある情報を盗み、制限されたリソースにアクセスするために使用されたりします。」
SpyLoanやAlbirioxのような搾取的な金融アプリは、通常、ソーシャルエンジニアリング(時にAI支援)を用い、すぐに現金が手に入る、低金利、審査が最小限といった触れ込みで誘い込みます。いったんインストールされると、連絡先、メッセージ、端末識別子を収集し、それらは嫌がらせ、恐喝、またはクロスプラットフォームでのなりすまし悪用に使われ得ます。SMSや通知へのアクセスと組み合わさると、そのデータにより運営者は、被害者が現実の債務、銀行残高、私的な会話をやりくりする様子を監視できてしまいます。
このより組織化されたアプローチの最も明確な例の一つが、Android向けの長寿命リモートアクセス型トロイの木馬(RAT)であるTriadaです。2024年12月〜2025年5月のデータでは、Triadaは比較的低いものの継続的な水準で現れていました。その後、6月〜11月の期間に検知数が2倍以上となり、年末にかけて顕著なスパイクが見られました。
Triadaの役割は、攻撃者に端末上の永続的な足場を与えることです。いったんインストールされると、追加ペイロードのダウンロードや起動を助け、アプリを操作し、端末内での不正行為を支援します。まさに、単発の感染を継続的なオペレーションへと変える、長期的な「インフラ」的振る舞いです。
Triadaのようなレガシー脅威が、より新しいバンキングマルウェアと同じ時期に勢いを増していることは、2025年が、長年使われてきたモバイル向けツールと新しい詐欺キットが同時に攻撃者に利益をもたらし始めた年であることを浮き彫りにします。
ドロッパー、情報窃取、スミッシングが足場だとすれば、バンキングトロイの木馬はファネルの最下部にあるレジです。アクセシビリティの悪用、端末内不正、ライブ画面ストリーミングにより、取引は偽サイト上ではなく被害者自身の銀行セッション内で実行され得ます。このアプローチは、端末フィンガープリンティングや、多要素認証(MFA)の一部形態など、多くの防御を回避します。こうした変化は統計のより広い傾向にも表れており、層状でエンドツーエンドの不正パイプラインを示す検知が増えています。
2024年のベースラインでは、フィッシング可能なAndroidアプリとOTP窃取者を合わせても、Android検知全体のごく一部にすぎませんでした。ところが2025年のデータでは、特に主要な詐欺シーズンの前後に、月によってはその割合が数十ポイント増加していることが示されています。
Androidユーザーが今すべきこと
この状況を踏まえると、Androidユーザーはモバイルセキュリティを、デスクトップやサーバー環境と同じくらい真剣に扱う必要があります。これは繰り返し強調すべき点です。というのも、Malwarebytesの調査によれば、人はノートPCよりもスマホでリンクをクリックする可能性が39%高いからです。
いくつかの実践的な手順が大きな違いを生みます:
- 公式アプリストアを優先しつつも、盲信しないでください。特に機密性の高い権限を求める金融系や「ユーティリティ」アプリでは、開発者の評判、レビュー、インストール数を精査しましょう。
- SMSアクセス、通知アクセス、アクセシビリティ、「他のアプリの上に表示」といった権限には極めて慎重になってください。これらは情報窃取型、バンキングトロイの木馬、OTP窃取キャンペーンで何度も登場します。
- 絶対に必要でない限り、サイドロードやグレーマーケットのファームウェアは避けてください。可能であれば、明確なアップデート方針を持つ端末を選び、セキュリティパッチを速やかに適用しましょう。
- 予期しないSMSやメッセージ—特に支払い、配送、緊急のアカウント問題に関するもの—は、正当性が確認できるまで敵対的なものとして扱い、そこからリンクをタップしたり、アプリを直接インストールしたりしないでください。
- 最新のリアルタイムのモバイルセキュリティソフトを実行し、悪意あるアプリを検知し、既知の悪質リンクをブロックし、疑わしいSMS活動をアカウントの完全侵害に至る前に警告できるようにしましょう。
2025年のモバイル脅威は、もはや背景ノイズでも、パワーユーザーや愛好家だけの領域でもありません。多くの人にとって、スマホはいまや主要な攻撃対象領域であり、金銭、アイデンティティ、そして私生活への主要な入口なのです。
