Android.Exprespam を発見した今月初め、シマンテックはただちにこのマルウェアについて警告するブログを公開し、この攻撃の詳細について説明しました。時をおかずにメディアや警察当局もこれを広く伝えたため、情報は瞬く間に広がりました。詐欺師たちも、この報道が十分に浸透し、マルウェアと偽のマーケットを更新する機が熟したと判断したのか、コンテンツを一新してまた新たな攻撃を始めています。
新しい偽マーケットは「ANDROID EXPRESS の PLAY」という名前で、「Gcogle」社によって運営されていると自称しています。
図 1. 偽の Google Play サイトの名前が書かれたアプリページ
このマーケットのドメイン名は 1 月 7 日に登録されています。奇しくも、シマンテックがこの詐欺に関するブログを公開したその日です。悪質な Android アプリの署名の発効日は、2013 年 1 月 9 日です。
詐欺はこれまでと同様に、Android アプリを宣伝するニュースレターに偽装したスパムメールの形で始まります。スパムメールのサンプルを以下に示します(図 2)。スパムの内容はさまざまですが、いつでも更新できるような文面です。
図 2. スパムメールのサンプル
詐欺師たちが新たに用意した偽アプリのラインアップは、以下の表のとおりです。スパムブロッカー、テレビ機能のない端末でテレビを見るためのビューア、有名シェフのレシピ、バッテリの放電など、目を引くような新しいタイプのアプリ名が登場しています。
図 3. 偽マーケットのアプリページの例
この 9 種類のうち、どのアプリをダウンロードしようとしても、最終的には「Android 専用端末アプ」という名前の同じ悪質なアプリがダウンロードされます。このアプリを実行すると、デバイスの電話番号や、連絡先に登録されている名前とメールアドレスなどの個人情報がリモートサーバーにアップロードされてしまいます。
詐欺師グループがこの攻撃から手を引く気配はまったくないようですので、このイタチごっこはまだ当分続くものと考えなければなりません。日本の Android ユーザーを狙った同様の詐欺が、現在ほかに少なくとも 2 つ進行していることをシマンテックは確認していますが(Android.Enesoluty と Android.Ecobatry)、これらの偽マーケットサイトではコンテンツは更新されていません。
デバイスや情報を保護するために、不明な送信元からの電子メールに掲載されているリンクをクリックすることは避け、信頼できないベンダーからはアプリをダウンロードしないようにしてください。ノートン モバイルセキュリティや Symantec Mobile Security などシマンテックのセキュリティ製品をお使いのお客様は、この脅威(Android.Exprespam として検出されます)から保護されています。スマートフォンやタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。