2011 年は、スマートフォンに移行する消費者の数が急増したこともあって、モバイル環境に大きな変化が見られた年でした。こうした状況が犯罪者集団の目にとまらないはずはなく、攻撃者たちの意識はモバイル向けのマルウェアに向くようになっています。しかし、この傾向がただの小手調べの段階から、実際に深刻な影響を及ぼす段階に進み、Windows に対する脅威に匹敵するほどの規模になるかどうかは、依然として予断を許しません。先週の活動状況を指標にして言うと、2012 年は注目に値するスタートを切ったと言えます。シマンテックは新しい詐欺を確認しましたが、今回はフランスの Android ユーザーを標的として、Carrier IQ をめぐる騒動を悪用しようとするものでした。
シマンテックの解析によると、Android.Qicsomos は、デバイス上で Carrier IQ を検出するために開発されているオープンソースプロジェクトを改変したバージョンであり、プレミアム SMS 番号に発信するコードが追加されています。このマルウェアがインストールされると、ヨーロッパの大手通信業者のロゴに酷似したアイコンがメニューに表示されます。このマルウェアの拡散にソーシャルエンジニアリングの経路が使われているのではないかとシマンテックが判断するに至ったのは、Android マーケットにこのマルウェアの痕跡が見つからないことに加えて、このロゴが理由です。たとえば、正規の通信業者を装ったスパムやフィッシング手法によってソフトウェアのダウンロードと実行を促している可能性があります。
悪質なコードが実行されるのは、アプリケーション内の[Désinstaller](アンインストール)と書かれたボタンをタップしたときです。このボタンをタップすると、4 つの SMS メッセージがプレミアム番号の 81168 に送信されます。アプリケーションを削除するアンインストールルーチンを実行することによって、トロイの木馬が後に続きます。
安全に削除する方法は、メインメニューの設定ボタンからアプリケーションをアンインストールすることです。
もうひとつの工夫として、このアプリケーションは Android Open Source Project(AOSP)の一環として発行されている証明書を使って署名されているようです。アプリケーションが公式に認められた証明書で署名されていると、その証明書の鍵が組み込まれたデバイスでは、通常の許可確認画面を表示せずにインストールを進めることが可能です。大部分のユーザーが使っている市販のデバイスには影響しませんが(鍵はメーカーによって秘密鍵として保持されるため)、公開された鍵を再利用している一部の古いカスタム機器では注意が必要です。
2012 年のモバイル環境における脅威については、ありとあらゆる大胆な予測がされているため、逆にその深刻さを疑ってかかる人がいるのも無理はありません。しかし、そうした懐疑派の方に向けて、こう断言していいでしょう。今回の脅威のように、一定の注意を払うことはけっして無意味ではないと。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。