Video Screencast Help
Security Response

生存を続ける日本の Android マルウェア

Created: 04 Dec 2012 09:44:23 GMT • Translations available: English
Joji Hamada's picture
0 0 Votes
Login to vote

2012 年は、日本で Android マルウェアが広く拡散した年として記憶されることでしょう。そして、一部のマルウェア作成者が悪質な犯罪行為に対する処罰を免れた年としても知られるようになるかもしれません。

10 月 30 日、警視庁は Android.Dougalek の開発と拡散に関与したとして、5 人のグループを逮捕しました。このグループの狙いは、Android デバイスに保存されている個人情報を収集することでした。偶然ながら、京都府警も同じ日に 2 人の男を、後日さらに 2 人を、同じように個人情報の盗取を目的に Android.Ackposts の開発と拡散に関わったとして逮捕しています。シマンテックはこの知らせを歓迎します。

シマンテックは、Android.Dougalek の亜種について把握していた詳しい情報を提供することで、警視庁に協力をしていました。その結果、容疑者の逮捕につながったのですが、後日この容疑者グループは起訴されることなく釈放されました。犯罪行為があったと立証する十分な証拠がないと検察が判断したためです。報道によれば、アプリのインストール時に許可について明確に説明されていたと容疑者が主張したとされています。以下の図でわかるとおり、このアプリは連絡先データの読み取りを許可するよう求めており、この場合は連絡先情報のアップロードが不正行為とは見なされなかったのです。
 

図 1. Android.Dougalek が求める許可
 

Android 4.2 を実行しているデバイスでは、許可はユーザーにわかりやすいようにグループ化されており、許可の確認時には、許可の項目をクリックするとその詳しい情報を確認できるようになっています。実際には、一般的なユーザーがそのような許可の内容を読んで確認することはほとんどありません。シマンテックのモバイルデバイス向けセキュリティ製品は、この手のアプリについてユーザーに警告を表示し、アプリの動作についての正しい情報を提供します。

本稿の執筆時点で、Android.Ackposts の開発者はまだ起訴されてはいません。

Android.Dougalek
*90,000 回のインストール
*1,000 万件の個人情報が漏えい
出典: Yomiuri Online

Android.Ackposts
*10,000 回のインストール
*400 万件の個人情報が漏えい
出典: 毎日 jp

この事件の結果、類似の行為を繰り返している詐欺師のうち、少なくとももうひとつのグループには何の影響もありませんでした。2 つのグループの逮捕以降もこのグループは、ユーザーにマルウェアのダウンロードを誘うスパムメールの送信をやめていません。これは Android.Enesoluty に関与するグループで、スパムの送信を続けているばかりか、さらにドメインの登録をさかんに進め、悪質なアプリのホストとして利用し続けています。電子メールの送信には「アンドロイドアップマガジン」や「スマートマガジン」などの送信名が使われ、あたかも正規のニュースレターとして配信されているように見せかけています。興味深いのは、スパムの送信が日本時間で午後から早朝の時間帯に集中していることです。

現在シマンテックは、Android.Enesoluty が図 2 に示すページからダウンロードでき、多数のドメインが使われていることを確認しています。ページで扱われているトピックはさまざまで、バッテリの持続時間や電話の受信を改善するツールから、ウイルス対策アプリ、日本の人気アイドルグループの未公開映像を視聴できると称するビデオアプリ、アダルト系のビデオダウンロードアプリ、人気のアニメキャラクターを使ったエンタテインメントアプリまで多岐にわたっています。
 

図 2. Google Play で公開されている偽アプリのページ
 

アプリをインストールして起動すると、連絡先情報が所定のサーバーにアップロードされます。さらに厄介なのは、収集された電子メールアカウントに宛ててさまざまなスパムが大量に送信されている、ということです。空メール(アカウントが実際に有効なことを確認するためと考えられます)や、バイアグラの宣伝メール(バイアグラは日本ではあまり一般的ではありません)もあれば、有名人のマネージャと詐称してその有名人の友人になってほしいと依頼するメール(実際には出会い系 Web サイトに誘導されるだけです)、悪質なアプリを紹介するメールもあります。
 

    

図 3. バイアグラの広告
 

図 4. 有名人のマネージャを騙る電子メール
 

しかも悪いことに、Android.Enesoluty が日本で出回っているマルウェアの最後の生き残りとは限りません。悪質なプログラムによるスパム活動が最近確認されていないとはいえ、Android.LoozfonAndroid.Ecobatry などのマルウェアをホストしているサイトは、依然としてアクセス可能です。逆に、電子メール経由で拡散する Android マルウェアとして最も広まった Android.Sumzand は、理由は不明ながら活動を休止しています。

不明な送信者からアプリのダウンロードを促す電子メールを受信した場合には、メールに記載されたリンクをクリックする前に必ず再確認してください。本来なら、電子メールそのものを開かないのが一番です。安全策として、アプリは信頼できる既知のアプリベンダーからダウンロードすること、そしてノートン モバイルセキュリティSymantec Mobile Security などのセキュリティアプリを携帯電話にインストールすることをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。