Video Screencast Help
Symantec Appoints Michael A. Brown CEO. Learn more.
Security Response

Android の連絡先情報を盗み出すためにアニメのキャラクター「あなる」を悪用

Created: 30 Jul 2012 09:14:11 GMT • Translations available: English
Joji Hamada's picture
0 0 Votes
Login to vote

今週の初めに、Android.Ackposts というマルウェアについてのブログ記事を書きましたが、このマルウェアは、セキュリティに欠陥があるデバイス上の電子メールアカウントを盗み取るためのものです。ブログにも書いたように、スマートフォンの連絡先データを標的とするマルウェアは一般的になりつつあり、Android.Maistealer が発見されたことでこの見解が裏付けられました。アプリが連絡先データを読み出す権限を求めてきたら細心の注意が必要です。

Android.Maistealer のインストールにあたっては、次のような権限を求められます。

ここでキーポイントとなる権限は「個人情報 – 連絡先データの読み取り」です。この権限は電話の連絡先リストに保存されている連絡先情報の読み取りを許可するものですが、このアプリはまったく正当な理由もなくこれを要求しているわけです。さらに、このアプリが取得したデータを一時的に SD カードに保存できるように「ストレージ」も要求され、「ネットワーク通信」がデータのアップロードに使用されます。多くのアプリがこれら 2 つの権限を要求してくるため、ウイルスなどに感染していないアプリがそれらの権限を本当に必要としているかどうかを判断することは困難になっています。

Android.Maistealer は解析のためにある個人からシマンテックに送信されてきましたが、広い範囲で感染しているわけではないようです。このアプリは実験目的または単に冗談半分に作成されたもので、現在までに誰一人としてこのアプリをインストールしていないことも考えられます。このアプリは連絡先情報を盗み出す一方で、広告としても機能します。ユーザーはスクリーンをタッチすると、キャラクターの胸の部分を揺り動かすことができます。このキャラクターはテレビアニメ「あの日見た花の名前を僕達はまだ知らない」の安城鳴子(あなる)という有名なキャラクターに似ており、上半身裸に見えるように画像が合成されています。インストール時の権限が無視された場合、このアプリによる悪意を特定することは困難です。

このアプリは他のどの場所からも入手できますが、専用の Web サイトでホストされています。このサイトには何のコンテンツも表示されておらず、Index(索引)にいくつかのファイルとフォルダが表示されているだけです。盗み出されたデータはこの同じサイトにアップロードされます。Index(索引)は、以下に示すように非常に基本的な内容で、Livewall1.apk が悪意のあるアプリ、rv.php が、アップロードされたデータの収集に使用されるファイルで、info.php にはサーバーの PHP 設定の現在の状態に関する詳細が格納されます。日付がフォルダ名として使用されているフォルダにはアップロードされた個人データが保存されます。

抽出されたそれぞれのデータは、上記のフォルダの下に保存されるテキストファイルに格納され、次のような内容になっています。

このブログを書いているときに、このサイトにアップロードされた連絡先情報のうち確認できたのは、このアプリを実行するためにテスト用デバイスで自分が作成したダミーデータだけでした。

サイトのドメインは他の複数のドメインを所有する個人に登録されており、その人物が、存在しないメールアドレスや、現在使われていない電話番号などの偽の情報を使用して登録したと思われます。その人物が何をたくらんでいるのか私にはわかりませんが、良くないことをたくらんでいるのは確かでしょう。

この特殊なアプリは、まだまったく広まっていないかも知れませんが、このようなアプリをいかに簡単に作成できるかを示す良い例でもあります。今現在も多くのアプリが作成、配信され、結果として多数のユーザーが犠牲になっています。前に述べたように、連絡先データを標的とするアプリは増え続けており、インストールするときに権限をチェックすることは重要だと、いくら強調してもしすぎることはありません。いったんこのようなアプリをインストールしてしまうと、被害を受けるのはあなただけではありません。電話の連絡先リストに詳細情報が保存されているあなたの友人やあなたの家族がすべて被害に遭います。

ユーザーはアプリのインストール時には細心の注意を払う必要があります。一般的に、定評のある信頼できるアプリマーケットからしかダウンロードしないことが無難な方法です。また、ノートン モバイルセキュリティなどのセキュリティアプリケーションを利用して、お使いのデバイスを保護することをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。