アプリストアから悪質なアプリを除外するのが難しいことは、先日のブログでもお伝えしたばかりです。本日、シマンテックの自動システムによって、Google Play でも別のミスリーディングアプリが公開されている例が見つかりました。
このアプリは Next Launcher 3D Pro という名前で、同じく Google Play で公開されている Next Launcher 3D という正規アプリの無償版であると謳っています。調べてみると、このアプリには一見して何かがおかしいとわかる明らかな特徴があります。正規版の開発元である Go Launcher Dev Team は、無償版と称するアプリの開発元である TuranPercin とは別です。偽のアプリをインストールすると、無償でアプリを使う前に何ページかの広告を閲覧する必要があると説明されます。
図 1. インストール画面
広告表示を実行し終わるとようやく、悪質なアプリはダウンロードに進み、有償版の Next Launcher 3D をインストールするよう求めてきますが、Google Application Licensing サービスによって保護されているため、これは正しく処理されません。
図 2. 正規の Next Launcher 3D アプリで表示されるメッセージ
シマンテックでは、同様の手口でユーザーを欺いて正規アプリの偽バージョンをインストールさせようとするアプリをさらに 752 種類特定しています。Google Play で特定されたアプリは 1 つだけで、このアプリが公開されていることは Google 社に通知済みです。
ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。ノートン モバイルセキュリティは、今回のアプリを Android.Fakeapp として検出します。
スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Recently we released a blog talking about the difficulties of keeping app stores free of malicious applications. Today our automated system flagged yet another example of a misleading application that was posted on the Google Play store.
The applicatio…
Recently we released a blog talking about the difficulties of keeping app stores free of malicious applications. Today our automated system flagged yet another example of a misleading application that was posted on the Google Play store.
The applicatio…
Android.Walkinwat は、非正規のサイトから不正にファイルをダウンロードしたユーザーを懲らしめようとする脅威です。この種の脅威がモバイル環境で確認されたのは初めてです。
図 1: トロイの木馬によって表示されるメッセージ
Android.Walkinwat は、Android マーケットで入手できる「Walk and Text」というアプリケーションの、存在しないバージョン(V 1.3.7)として公開されており、北米とアジアの有名なファイル共有 Web サイトで見つかっています。このアプリケーションがこれらの地域で意図的に拡散されたのは、脅威の作成者がダウンロード数を増やし、少しでも多くのユーザーにメッセージを送るためだったとも、Walk and Text の発行者を非難するためだったとも考えられます。
このアプリケーションを実行すると、アプリケーションに対する侵入とクラッキングが進行中であるかのように見えるダイアログボックスが表示されますが、実際にはその間に、重要なデータ(名前、電話番号、IMEI 情報など)を収集して外部サーバーに送信しようとしています。
図 2: バックグラウンドで実行される処理
また、リストにあるすべての連絡先に、次のような SMS メッセージを送信します。
図 3: リストのすべての連絡先に送信される SMS メッセージ
注目すべきなのは、このトロイの木馬が Android.Walkinwat の LicenseCheck と呼ばれるルーチンで上記の処理を実行しているということです。これは本来、正規のアプリケーションがライセンス管理に使うルーチンであり、海賊版を排除するために Android プラットフォームで利用できるライセンス検証ライブラリ(Licensing Verification Library)と組み合わせて使われます。悪質なコードの作成者は、海賊版を防ぐために推奨されている別の対応策も使い、アプリケーションを不明瞭化するという手間もかけています。
図 4: LicensingService ルーチンと LicenseCheck ルーチン
アプリケーションは最後に、電話料金の請求書を忘れずに確認するようにというメッセージを表示し、Android マーケットからこのアプリケーションの正規版を購入するオプションも提示します。
図 5: 脅威によって表示される最後のメッセージ
海賊版防止のメッセージを送信する手段として、正義による制裁という形が使われるケースは初めてではありませんが、モバイル機器では初めての出現例となりました。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。