最近シマンテックは、未来を占うだけにとどまらずユーザー情報を盗み出す占いアプリを確認しました。ユーザーの吉凶を見るどころか、大凶をもたらすアプリです。先週、情報処理推進機構(IPA)は、個人の身元を特定できる情報(PII)を抜き出す Android アプリケーションが、またしても日本語で登場したことについてセキュリティ上の注意喚起を発しました。4 月には、少なくとも 29 の悪質なアプリが Google Play で見つかりました(アプリの総数はこの 2 倍に及ぶ可能性があると考えるに足る根拠もあります)。これらのアプリは、モバイルデバイス所有者に関する個人情報だけでなく、端末の連絡先に登録されている人の情報までエクスポートしていました。このときの情報漏えいについて詳しくは、以前のブログ記事を参照してください。
今回見つかった占いアプリも、このときの Android.Dougalek(別名 "The Movie" マルウェア)と同じように情報を盗み出すことが確認されています。ノートン モバイルセキュリティなどのシマンテック製品は、このアプリを Android.Uranico として検出します。IPA によると、このアプリは特定の Web サイトでホストされていました。Android アプリを紹介する専門サイトの多くで、このマルウェアに関する情報が 4 月 18 日に公開されたようですが、当局によってダウンロードサイトが閉鎖されるまで 1 カ月あまり、このアプリは引き続きダウンロード可能な状態でした。このアプリを紹介しているサイトの一例を以下に示します。
一番下のダウンロードボタンに「Google Play でダウンロードする」と書かれていることに注目してください。このボタンをクリックするとダウンロードページに進みますが、リンク先は Google Play ではありません。同じサイトのすべてのアプリページにはこのボタンがありますが、その多くはリンク先が Google Play ではありません。このような疑わしいサイトには、近づかないに越したことはありません。
Android.Uranico の調査を始めた当初は、"The Movie" マルウェアのニュースが報じられた後で、何者かが Android デバイスから個人情報を盗み出すという手口を後追いしただけだろうと推測しました。出現時期はちょうど "The Movie" マルウェアの直後でしたし、盗み出される個人情報も前例の "The Movie" と同じ情報だったからです。ところが調査が進むと、このアプリは Google Play 上にも出現していたことが判明しました。このアプリは、同じ開発者がリリースしている他のアプリと同じく、4 月 11 日か 12 日に Google Play で公開されており、これは前述のサイトで問題のアプリが詳しく報告されるより前のことです。実際この日付は、"The Movie" アプリが怪しいということがネット上で初めて取り沙汰された時期と重なります。
では、"The Movie" マルウェアに関するニュースが Android.Uranico の開発を誘因したのでしょうか。2 つのマルウェアのコードが異なっていることから、開発者は別であるとも考えられますが、両方とも同じ組織、あるいは同じインターネット詐欺集団に属する者によって生み出されたという可能性も否定できません。しかも、作成者どうしが最近の戦略や手口について情報を共有し合っている、さらには盗み出した情報を交換している恐れさえあります。両者間に何らかの関係があったはずであり、単なる "The Movie" マルウェアの模倣犯ではないと考えられます。類似の悪質なアプリが同時に登場したのが単なる偶然とは思えません。
これらのアプリは、Google Play でもダウンロードサイトでも現在は公開されていませんが、インストールしてしまった恐れがある場合には、以下の点を確認してください。「KoibitoSagash」というアプリはマルウェアとは判定されていませんが、使った場合には結果的に不愉快な思いをする可能性があります。私が調べたところ、アプリ内のリンクをたどるとアダルト系サイトがブラウザで開き、何回かリンクをタップすると最終的にはワンクリック詐欺サイトに行き着きます。
Google Play 開発元: nakamuraGT
即エロ完全サポートマニュアル
KoibitoSagashi
スピリチュアル診断オーラの湖
占いアプリオーラの湖
Android.Uranico がインストールされた件数は数千単位と推定され、その数は "The Movie" マルウェアよりもはるかに少ないものです。しかし、Android.Dougalek と同様、このマルウェアの影響を受けたユーザーは、個人情報が盗み出された時点でデバイス上に連絡先情報も持っているので、何万人あるいは 10 万人単位の人々が影響を受けているとも考えられます。
まだ見つかっていないだけで、類似のアプリが今も出回っている可能性があります。したがってアプリをインストールするときには、そのアプリがどのようなものであるか注意し、どのような処理を実行するのか把握するようにしてください。そのうえで、インストール時に要求される許可がアプリの内容に対して妥当かどうかを比べ、許可が実際に適切かどうか確認してください。たとえば占いアプリであれば、ユーザーの位置情報を知る必要があるのかどうか、連絡先情報にアクセスする必要があるのかどうか、と疑ってみるべきです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。