Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

日本の Android ユーザーから個人情報を盗み出す "The Movie" マルウェア

Created: 16 Apr 2012 08:48:54 GMT • Updated: 12 Jul 2013 22:37:10 GMT • Translations available: English
Joji Hamada's picture
0 0 Votes
Login to vote

先週来、不審な Android アプリに関する話題がインターネットをにぎわせています。ほとんどのアプリは、日本で人気のあるゲームを模倣したものや、ゲームに関連するビデオを再生するものですが、実際にインストールしたユーザーからアプリの合法性が疑問視されました。

シマンテックはこれまでに、このような特徴を持つものとして 7 つの開発者による 29 のアプリを特定し、それらが悪質なものであることを確認しています。これらのアプリには共通のプログラミングコードが使われていることから、犯罪に関与しているのは単独の個人または組織であると考えられます。シマンテックが確認した最初のアプリが Google Play に登場したのは 2 月 10 日頃ですが、3 月後半までにはさらに多くのアプリが登場しています。当初公開されていたアプリはゲーム関連ではなく、アダルト向けのアプリや連絡先管理アプリ、レシピアプリ、ダイエットサポートアプリなど、さまざまなものがありましたが、そのダウンロード件数は多くはありませんでした。ところが 3 月後半になると、名前の最後に "the Movie" が付くアプリが大挙してリリースされたのです。これらのアプリは多くのユーザーの注目を集め、実際にインストールされました。

インストールの総数は少なくとも 70,000 に迫っていますが、潜在的には 300,000 にのぼるとも考えられています。1 人のユーザーが複数回インストールした可能性もあるので感染したデバイスの実数は確定できませんが、インストール数に近い範囲だろうと推測できます。感染したデバイスのユーザーだけが被害者なのではなく、連絡先に登録されている人々も、個人情報が盗まれることになるので被害者だと言えます。株式会社エヌ・ティ・ティ・アドが 2010 年 10 月に行ったアンケートによると、モバイルユーザーが登録している連絡先の数は、20 代で平均 74.8 件、30 代では平均 51.6 件とされています。このことから考えると、何百万人というユーザーが影響を受ける可能性もあります。

以下のスクリーンショットのように、今回のアプリは 3 つの許可を要求します。多くのアプリには、ネットワークアクセスが必須のように思える説明が付いていますが、個人情報や端末の ID を読み取る必要はまったくないはずです。

 

理由は不明ですが、モバイルデバイス上のアプリの名前は、Google Play 上に表示されるアプリ名と一致していません。たとえば、Google Play 上で次のように表示されるアプリがあります。

 

実際にインストールすると、このアプリのアイコンと名前は次のようになります。このことも、アプリが不審なものであることを思わせます。

 

これらのアプリをインストールして起動すると、攻撃者が用意している外部サーバーに接続され、ビデオを再生するために MP4 ファイルがダウンロードされます。ところがバックグラウンドでは、インストールした端末の電話番号や、連絡先に登録されている個人の名前と電話番号、メールアドレスなども、同じサーバーにアップロードされてしまいます。アプリが情報を送信できてしまうのは、インストール時に許可を与えたためです。

この攻撃の目的ははっきりしていませんが、詐欺のスパムメールを送信したり、直接電話をかけて詐欺を仕掛けたりという次の悪質な活動に利用するために、メールアドレスや電話番号を収集しているという仮定が有力です。

デバイスが感染した可能性がある場合には、以下のリストを確認し、インストールされていないかどうか調べることができます。ただし、これらはシマンテックで確認されたアプリであり、すべてを網羅しているわけではありません。左列の名前が Andoid デバイス上に表示されるアプリ名、右列の名前が Google Play 上に表示されるアプリ名です。アプリによっては、Google Play 上で複数の名前を持つ場合もあります。これらのアプリはすべて削除済みであり、現在 Google Play で入手することはできません。

 

デバイスにインストールされた場合のアイコンの例を以下に示します。いずれかがインストールされている場合には、削除してください。

 

ノートン モバイルセキュリティを使って端末から駆除することもできます。シマンテックは、これらのアプリを Android.Dougalek として検出します。ノートン モバイルセキュリティは上にリストしたアプリをすべて検出するほか、類似の特徴を持ちながらまだ特定されていないアプリも検出します。

これらのアプリが個人情報を送信する先は、Android.Oneclickfraud の亜種を拡散していることが確認されているホストサーバーであることも注目に値します。Android.Oneclickfraud が盗み出そうとする個人情報も同じサーバーに集められているのです。これは単なる偶然なのでしょうか、それとも 2 つのマルウェアに何らかの関係があるのでしょうか。報道によると、警視庁は今回の問題について調査を開始し、Android.Dougalek の作成者の特定に動いているようです。シマンテックでは、このマルウェアの調査を続け、詳しいことがわかりしだいこのブログを更新する予定です。今後の更新情報にご注目ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。