日本は、ことモバイルマルウェアに関しては多くの点で流行がいち早く現れる国であり、プライバシーの侵害に関係するアプリの数も驚くほど急速に増加しています。今年に入ってから、Android プラットフォームで日本のユーザーを標的にした新しい脅威の数は、昨年の同時期に比べて 200% も増えています。
図 1: 日本の Android デバイスを標的とするマルウェアの増加
と言っても、金銭詐取を目的とした脅威やプライバシーの侵害に関わる脅威とは違い、日本では珍妙なマルウェアも横行しています。そして、やはり「珍妙」としか言いようのないマルウェアがまた新しく見つかりました。
それが、日本の人気グループ「AKB48」のファン向けニュースアプリに埋め込まれていた Android.Kabstamper というトロイの木馬です。日本では、AKB48 の選抜総選挙を今年最大のイベントと称する人もいるほどですが、シマンテックのこれまでの解析によると、そのイベントを追跡するためのアプリをサードパーティのマーケットからダウンロードしたユーザーの Android デバイスは、このマルウェアに感染した可能性が高いと考えられます。このアプリには、デバイスに保存されている画像を破壊する機能しかなく、デバイスに画像が保存されていれば、そのすべてに別の画像を重ね書きします。
図 2: 感染したデバイスで見つかった画像に別の画像が重ね書きされる場合の例
このように悪質な形で改変された元のアプリは、公式の Google Play サイトにあり、その後削除または公開停止されたようです。公開が停止されたのはトロイの木馬が存在するからではないと思われ、また保存されている画像に害を及ぼす機能がこのアプリにあったとも考えられません。このアプリが Google Play から姿を消したときと、脅威が確認されたとき(AKB48 の総選挙の数日前でした)の時間差からすると、最近になって海賊版から改変されたと言っていいでしょう。
もちろん、このマルウェアがごく最近になって確認された脅威の亜種である可能性についても追究を続けています。コードを再利用した結果かもしれませんし、このような画像インジェクトアプリを生成するツールキットが存在するのかもしれません。詳しいことが判明したら、更新情報をお伝えする予定です。
アプリの出どころにかかわらず、インストール時にアプリで要求される許可には注意してください。要求される許可に不審な点があれば、インストールしないようにしてください。何か変だと感じた場合には、アプリの開発元に連絡し、要求される許可に関する説明とプライバシーポリシーの確認を求めましょう。最後になりますが、ノートン モバイルセキュリティなどのセキュリティアプリケーションでデバイスを保護することもお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。