Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

モバイルユーザーのプライバシーを侵害する詐欺

Created: 29 Mar 2012 03:14:58 GMT • Updated: 12 Jul 2013 23:13:57 GMT • Translations available: English
Irfan Asrar's picture
0 0 Votes
Login to vote

Android プラットフォームに写真にアクセスする際の制限がないことが話題となったのは、ほんの数週間前のことです。画像ファイルの読み込みには権限が必要ないため、悪質なアプリをうっかりインストールしたユーザーのプライバシーが流出する可能性があります。今回新たに確認された Android.Oneclickfraud の亜種は、この問題を甘くみてはいけないことを裏付けるもののようです。

以前に紹介したケースと同様に、今回もポルノを利用してユーザーを誘い込み、スマートフォンアプリをダウンロードさせる手法の恐喝詐欺です。インストールされたアプリは、個人情報を収集した後、Web ページを表示します。その Web ページには、収集した個人情報を含む偽の登録情報が表示され、さらに料金を支払うよう要求されます。支払いが行われない場合は、収集した個人情報をもとにユーザーを突き止めるという脅し文句が並びます。ポルノの特性を利用して、リンクをクリックした羞恥心から支払いに応じるだろうというのが攻撃側の狙いです。


1. 送信されるデータの詳細

Android.Onclickfraud の以前のバージョンでは、数多くの個人情報を送り返すことが分かっています。たとえば、デバイス ID(各 Android デバイスを特定する一意の ID)、GPS 座標、電話番号、デバイスに関連付けられているメールアカウントなどです。こうした個人情報をもとに、詐欺師は手の込んだ脅迫手法を確立することができます。


2. アドバイスを求める被害者の例

Android.Oneclickfraud の最新バージョンでは、この恐るべき手法がさらに進化し、画像をアップロードできるようになっています。これは、Android OS が、デバイスから画像を読み込む際にアプリに特別な権限を要求しない設計になっていることを悪用したものです。このため、インターネットアクセスなどのその他の権限と組み合わせることにより、リモート操作で画像が転送されてしまいます。


3. アップロードルーチン

画像の転送先サイトは、現在オフラインになっているようです。しかし、Android.Oneclickfraud の過去の経緯を見る限り、今後、より手の込んだ恐喝の手口を実現するための道具として画像が使用されるものと推測されます。セキュリティ上、信頼できる場所以外で提供されているアプリは、インストールしないようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。