Android.Opfake は、モバイルデバイスの所有者を騙して、少額ながらアプリの料金を支払わせようとするマルウェアです。そのために、Android デバイスからプレミアム SMS メッセージを送信するという手口を使っています。Android.Opfake は成長を続け、今やロシア語圏で相当数の Android ユーザーに影響を与えかねない脅威へと進化しています。インターネットをちょっと検索しただけでも、人気のあるアプリの専用サイトなど、さまざまなアプリを入手できるアプリマーケットを装ったサイトが何百と見つかります。こうしたサイトでホストされている Android.Opfake の中には、犠牲者を最初に引き込むときの手法も、詐欺に用いる手順も異なる亜種がいくつか存在しています。

最近でも、実に興味深い方法で処理を実行する亜種が確認されています。最終的な結果を見れば Android.Opfake が詐欺であることは明白ですが、デバイスの所有者を Google Play に誘導し、すでにインストールが済んでいるにもかかわらずアプリをインストールさせようとする手口です。この場合、アプリは専用のサイトにホストされていることも、偽アプリマーケットにホストされていることもありますが、これは Android.Opfake では一般的です。人気のあるアプリをホストしているサイトの一例を次に示します。
 

ダウンロードとインストールが終わってアプリを起動すると、再度インストールが実行されるように見えます。
 

もうインストールは済んだはずなのに、変ですね。このインストールが偽物に違いありません。

偽のインストールが完了すると、デバイスの所有者は使用許諾を確認してボタンをタップするように求められます。その使用許諾は、いったいどこにあるのでしょうか。確かに、画面の一番下まで進むとリンクがあります。そのリンク先を読むと、アプリの使用について料金が請求されると書かれていますが、それに気づくのは難しく、目にすることすらないかもしれません。
 

タップ可能なボタンは 1 つしかありませんから、それをタップしてみましょう。今度は、URL とボタンが 1 つだけの画面が表示されます。
 

このボタンをタップすると、次のような Web サイトが開きます。ページには多数のアプリが一覧されていますが、注目すべきなのは、ページの一番上にある最初の URL です。これは、Google Play 上にあって、すでにインストールされているはずのアプリの URL です。

このリンクを選択すると、確かに Google Play が開きます。このページのアプリのタイトルとアイコンをよく見ると、もともとインストールされていると思っていたアプリが Google Play では無料であることがわかります（信頼できないサイトからではなく、Google Play からダウンロードすることをお勧めします）。
 

この段階で、人によっては詐欺に引っかかってしまった可能性を考えるかもしれませんし、少なくとも何か変だとは思い始めるでしょう。プレミアム SMS メッセージは、偽インストールの時点ですでに（バックグラウンドで）送信されているので、詐欺に関してはもはや手遅れです。

Google Play 以外の場所にあるアプリは、信頼のできるサイトでだけインストールするようにして、アプリの出どころにかかわらず、インストール時の許可には注意してください。アプリで要求される許可に不審な点があれば、そのアプリはインストールしないようにしましょう。たとえば、今回取り上げたマルウェアは、悪質な活動を遂行するために、プレミアム SMS に関連する許可を利用します。通常、ゲームにそのような許可は必要ありません。最後になりますが、ノートン モバイルセキュリティなどのセキュリティアプリケーションを使ってデバイスを保護することもお勧めします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。