Tag Archives: Android.Oneclickfraud

8 ?? Google Play ?????????????????

      No Comments on 8 ?? Google Play ?????????????????

8 月といえば、世界中の多くの人々が仕事の手をいったん休め、休暇を過ごす時期でしょう。しかし、日本でワンクリック詐欺アプリを開発している詐欺師たちにとっては、8 月こそが繁忙期だったようです。この月、詐欺師たちは生産性を大きく伸ばし、1,000 個近くの詐欺アプリを Google Play に公開しました。Google Play に表示されている統計データによると、騙されてしまった Android デバイスユーザーが、詐欺アプリを少なくとも累計 8,500 回ダウンロードしています。実際の数字はおそらくそれよりもはるかに多く、10,000 回以上ダウンロードされているものと思われます。
 

Figure1_0.png

図 1. 8 月中 1 日あたりに公開された詐欺アプリ数
 

1 月から 8 月末までに公開されたワンクリック詐欺アプリ数は合計で約 2,500 個です。しかも、詐欺師たちがその手を緩める兆しは一向に見えません。これまでと同様に、8 月に公開された詐欺アプリの大半は、翌朝にはストアから削除され、一晩しか持ちませんでした。それでも、詐欺師たちにとっては、ダウンロード数を稼ぐのに十分な時間のようです。詐欺アプリはたいてい、オフィスでの作業時間が終わると思われる毎日午後に公開されます。週末にかけて公開されれば、詐欺アプリが生き残る可能性も高くなるのに加え、運が良ければ数日間もサイト上に残り、多くのダウンロード数を稼ぐものもあります。
 

Figure2_0.png

図 2. 月間の詐欺アプリ公開数
 

7 月と同じく、8 月にも新しいタイプのワンクリック詐欺アプリが登場しています。採用されている戦略はさまざまですが、いずれの亜種もそれほどの成功を収められずに短期間で姿を消しています。興味深いことに、アプリを公開している詐欺師たちの 97 % が同じグループに所属しています。
 

Figure3.png

図 3. 8 月に公開された詐欺アプリの亜種
 

最新型の亜種のうち、ダウンロード数は限られているものの、Google Play でうまく生き残ったものが 1 つあります。この詐欺アプリには、さまざまなアダルト関連サイトへのリンクが仕込まれていますが、そのうち 1 つか 2 つは実際には詐欺サイトにつながっており、有料サービスに適切に登録しないままに料金を支払うようユーザーを騙そうとします。たいてい、こうした詐欺サイトではアダルト動画を見るための料金と称して 10 万円程度要求されますが、これは合法的なサービスの平均よりもはるかに高い金額です。この詐欺アプリは、他の合法的なリンクの中に悪質なリンクを紛れ込ませることで、セキュリティチェックに見つからないように偽装します。この悪質なリンクは、リダイレクタ URL に誘導され、リダイレクタで指定されているサイトを開くようにアプリに指示します。そのため、悪質な活動に関係していると疑われても、詐欺師たちは、詐欺アプリが最終的にどこに誘導されるかをサーバー側で簡単に変更することができます。

詐欺アプリの動作は、次のとおりです。

  1. アプリをインストールすると、アダルト関連動画サイトへのリンクが複数表示されます。
  2. 一部のリンクから詐欺サイトに誘導されます。これらのサイトのいずれかから動画を選択します。
  3. 動画を再生しようとします。
  4. 料金を支払うように要求されます。

OneClickGIF.gif

図 4. 詐欺アプリ
 

アプリストアではアプリを簡単に検索してダウンロードすることができますが、騙されて不正なアプリをダウンロードしてしまうリスクが常に伴います。確実に信頼できるアプリのみをインストールするようにしてください。デバイスを保護するためにノートン モバイルセキュリティを使用することをお勧めします。シマンテック製品では、このブログで説明した詐欺アプリは Android.Oneclickfraud として検出されます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Busy August for One-Click Fraud Scammers on Google Play

For many of us around the globe, August may be a month to take a bit of a break from work and go on a summer holiday. In contrast, August appears to the busiest month of the year for the scammers developing Japanese one-click fraud apps. They have incr…

The New Japanese “Not Just One-Click” Fraud on Google Play

Since the beginning of the year, Japanese one-click fraud scammers have continued to pump new apps onto Google Play and the market has struggled to keep itself clean. Though many are removed on the day they are published, some remain for a few days. Al…

??????????????????? Google Play ?????????????

年明け以降、日本語のワンクリック詐欺が Google Play で猛威を振るっています。詐欺師たちは、1 月末から 700 個にも及ぶアプリを公開しています。新しいアプリは日々公開されており、Google Play にアプリを公開するために詐欺師たちは 25 ドルの登録料を払い、これまでにおよそ 4,000 ドルを費やしています。

fig1.png

図 1. 開発者と開発されたアプリの合計

詐欺アプリへの対応はイタチごっこの様相を呈しています。アプリが Google Play から削除されると、詐欺師たちは別のアカウントでさらにアプリを公開します。それらもすぐに削除されますが、今度はまた別のアカウントでさらに多くのアプリを公開するのです。アプリの大半は公開された当日に削除されますが、特に週末に公開されたアプリの中には、ダウンロード数が 3 桁になるまで生き延びてしまうものもあります。こうした詐欺アプリは、アダルト動画に興味を持つユーザーを欺いて、有料サービスに登録させるためのサイトに誘い込みます。1 人でも詐欺に引っかかれば、99,800 円が詐欺師の懐に入るので、さらに多くの開発者アカウントを作って、詐欺アプリの数を増やせば、実入りも多くなるというわけです。

fig2.png

図 2. マルウェア作成者の開発者ページ

最近、詐欺師たちは新しい手口を思いついたようです。典型的なワンクリック詐欺アプリでは、アプリ内で Web ページを表示するために Webview クラスを使用します。通常、クリック詐欺へと誘い込むアダルト関連のサイトが表示されますが、新しいアプリでは、同じようなアダルト関連サイトでも、個人情報(Google アカウント、電話番号、国際移動体装置識別番号(IMEI)、Android ID、機種の詳細情報など)を盗み出すアプリをホストするサイトが表示されます。新しい詐欺アプリは、手動でダウンロードしてインストールする必要があるアプリのダウンローダとしての役割を果たします。

fig3.png

図 3. 悪質なアプリをホストするサイト

fig4.png

図 4. 偽の Google Play サイト。ここから悪質なアプリがダウンロードされる

fig5.png

図 5. デバイスからアップロードされるデータ

この新しい手口で気になるのは、詐欺師たちがアプリページの説明にランダムなキーワードを列挙していることです。従来はアダルト関連のキーワードだけが記載されていましたが、ここではより多くの人を標的にしようとしています。詐欺師たちの狙いは、アプリを探しているユーザーが詐欺アプリを偶然見つけて、アダルト風のアイコンに目を引かれてしまうことです。アプリのタイトルも、たいていはアダルト風のものですが、中にはランダムな名前のアプリもあります。

fig6.png

図 6. 悪質なアプリのページ

fig7.png

図 7. アプリの説明に列挙されているキーワード

個人情報がどのように悪用されるのかについてはまだ確認できていませんが、被害者のもとに詐欺師から何らかの形で連絡が来るものと思われます。シマンテックは、このブログで説明しているアプリを Android.Oneclickfraud として検出します。ノートン モバイルセキュリティSymantec Mobile Security などのセキュリティアプリをデバイスにインストールすることをお勧めします。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Japanese One-Click Fraud on Google Play Leads to Data Stealing App

Since the beginning of the year, a Japanese one-click fraud campaign has continued to wreak havoc on Google Play. The scammers have published approximately 700 apps in total since the end of January. The apps are published on a daily basis and the scam…

Google Play ?????????????????

      No Comments on Google Play ?????????????????

ワンクリック詐欺とは、アダルト動画に興味のあるユーザーを誘い込み、有料サービスに登録させようとする詐欺行為のことです。このタイプの詐欺は、PC の世界では、この何年もの間よく見られるものですが、スマートフォンが普及するにつれ、スマートフォンデバイスを狙ったワンクリック詐欺も増加しています。こうした詐欺サイトには、興味のある語句で検索したり、スパムメッセージに記載されているリンクをクリックしたりしてアクセスしてしまうことが多いものです。昨年、ワンクリック詐欺を働く Android アプリの存在を確認しましたが、現在は Google Play でもこうしたアプリが見つかっています。

dev7.png

図 1. 詐欺アプリを提供している開発元の例

app_page1.png  app_page2.png

図 2. ワンクリック詐欺アプリの例

こういったアプリは、インターネット検索と同じように Google Play でキーワード検索を実行すると簡単に見つかります。たとえば、(このブログの執筆時点では)アダルト動画に関連する日本語の単語を入力すると、そうしたアプリの 1 つが検索結果の上位に表示されます。大抵の場合、アプリがユーザーに要求するのは、「ネットワーク通信」許可だけです。アプリによっては、何の許可も要求しないものもあります。これは、ユーザーに詐欺アダルトサイトを開かせるように誘い、詐欺に陥れるための道具としてしか、このアプリが使われていないためです。アプリには余計な機能が付いていないので、ユーザーはアプリが安全だと誤解して、無防備に起動してしまう可能性があります。

no_permission_ja_rev.png  one_permision_ja_rev.png

図 3. これらの詐欺アプリで通常要求される許可

このタイプのアプリを最初に確認したのは昨年の 1 月のことですが、それよりも前に公開されていた可能性もあります。以降、さまざまな開発元から何度もアプリが公開されています。一時、多くのアプリが理由は不明ながら Google Play から削除されたものの、その数は着実に増え続けています。現在では、複数の開発元がおびただしい数のアプリを毎日公開していることが確認されています。シマンテックで確認している限り、これまで 50 以上もの開発元によって、200 個以上の詐欺アプリが公開されていますが、実際には、おそらくそれ以上の数に上るでしょう。これらのアプリは、最近 2 か月で 5,000 回以上もダウンロードされています。この「サービス」には、99,000 円請求されますが、実際に詐欺グループにお金を払ってしまった被害者の数はわかっていません。2 か月以上もこの商売を続けていることを見ると、詐欺グループにとっては、時間と手間をかけるだけの価値があるのでしょう。

siteA.png  siteB.png  siteC.png

図 4. 詐欺アプリが開くサイトの例

regist.png

図 5. 動画を見ようとすると表示される登録ページ

興味深いことに、詐欺グループが関心を持っているのは、ワンクリック詐欺だけではないようです。いくつかの開発元は、出会い系サービスアプリも公開していることが確認されています。出会い系サービスがいかがわしいものとされている日本では、詐欺グループがワンクリック詐欺アプリと出会い系サービスアプリの両方に手を染めていても、特に驚きはありません。

dev_mix.png

図 6. ワンクリック詐欺アプリ(右端)と出会い系サービスアプリの両方をリリースしている開発元

シマンテックは、このブログで説明しているアプリを Android.Oneclickfraud として検出します。アプリを探すときには、アプリがホストされている場所や見つかった場所にかかわらず、信頼できるサイトからダウンロードするようにしてください。ノートン モバイルセキュリティSymantec Mobile Security などのセキュリティアプリをダウンロードして、デバイスを保護することも有効です。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Japanese One-Click Fraud Campaign Comes to Google Play

One-click fraud refers to a scam that attempts to lure users interested in adult-related video to a site that attempts to trick them into registering for a paid service. For many years, it has been common to see this type of fraud on computers. As smar…