世間は夏休みシーズン。帰省や旅行などで遠出する人も多いはず。旅先で欠かせないのがスマートフォンだ。撮影した写真をSNSやLINEなどで友人と共有するのは、今日においてはおなじみの光景になっている。
夏休みはスマートフォンを構えて撮影に励む姿がよく見られる。子どもの成長記録、いつもと違う風景、夏の時期だからこそのリゾート地……などなど、被写体が魅力的に見える季節ともいえるだろう。
撮影の機会が増えるとなれば、注目されるのはアプリ。SNS受けをよくするために、ユニークな効果を付けて撮影するアプリ、画像を美しく加工するアプリの需要は高まるもの。しかし、名前だけにつられて、危険なものを無警戒にダウンロードしてはいけない。そこにつけ込む、悪意ある攻撃もあるのだ。
その中には、カメラアプリを装って端末内のデータを抜き出そうとするものもあれば、特定のサービスを購読させて継続的に課金させるものまである。その手の偽アプリは巧妙なことに、「Photo」や「Cam」、あるいは「Beauty」など、いかにも写真写りを向上させるような単語を名前にしのばせていたりする。無警戒にダウンロードしてしまい、うっかり被害に遭おうものなら、楽しいはずの夏休みが最悪なものとなってしまう。
スマートフォンやタブレットには、さまざまな個人情報が入っている。当然、それらを狙ったサイバー犯罪は多い。気になるアプリをダウンロードしたいあまり、脅威を忘れがちになるのはよくないことだろう。気が緩みがちな夏休みとはいえ、セキュリティーに対する意識をおろそかにしてはならない。
セキュリティー関連のソフトウェアをインストールしておくのはもちろん、「スマホアプリをダウンロードする前に気をつけることは何か」をよく考えてみるのも大事だ。今回はMcAfee Blogから「課金をせまる写真編集アプリにご注意」を紹介しよう。
課金をせまる写真編集アプリにご注意
モバイルアプリケーションでは、たいていの場合、その機能を表現したアプリ名がつけられています。最近私たちは、Google Playストア上で意図的に異なるアプリ名が付けられている悪意あるアプリを発見しました。
すべてのAndroidアプリケーションは、端末やGoogle Playストア上で一意に識別されるパッケージ名として知られている固有IDを持っています。Google Playストア上で公開されている多くのパッケージ名はアプリの機能と関連しています。例えば、写真アプリの場合には "photo" という文字がパッケージ名によく使用されます。もし私たちが "com.star.trek" というパッケージ名を目にした時、おそらく私たちはあの有名なSFシリーズを想像するでしょう。しかしながら、アプリケーション名やその説明からすると写真編集アプリであるように思われます。
Google Playストアの情報によると、このアプリは100万回以上もダウンロードされており、人気があるにもかかわらず、その割には低い評価 (3.5) となっています。
このアプリの怪しい点は、アプリ名 "I Love Filter" と、画面上部のバナーに表示されているアプリ名 "Wonderful Cam" とが一致していない点です。さらに、ユーザーレビューを見ることで、私たちは低い評価となっている理由を見つけることができます。
あるレビュアーは、このアプリはSMSメッセージを使い金儲けをしているとコメントしています。実際このアプリは技術的には古いものの、収益性が高いモバイルの脅威の1つであるSMSを送信するトロイの木馬なのです。SMSトロイの木馬は、特定のプレミアム番号と呼ばれる電話番号に対してSMSメッセージを送ることで、通常のSMSメッセージよりも高額な料金が請求されます。また別のケースでは、プレミアムSMSによる高額課金の代わりに特定のサービスを購読させ、購読キャンセルのメッセージが送信されるまで継続的に課金させるものもあります。私たちがこのアプリをインストールした後、SMS送信の権限を要求していることを確認しました。さらに、アプリ名をよく見てみると誤字もあり、さらに疑わしさを強調しています。
アプリを起動してみると、さらに私たちの懸念事項は確信に変わりました。
アプリを起動するとすぐにプレミアムサービス購読に関するWebサイトを読み込み、ユーザーが「続ける」をクリックすることで、プレミアムサービスの購読が開始されることをユーザーに通知します。このアプリの良いニュースは、バックグラウンドで勝手に購読させるのではなく、プレミアムサービス購読にかかるコストや中断方法について説明している点です。一方、悪いニュースは、ユーザーが同意しないとこのアプリを利用することができない点です。
この動作は矛盾を抱えています。このアプリ開発者はこのアプリをフリーで提供しているにもかかわらず、ユーザーに対しプレミアムサービスを購読させ課金させようとしています。さらに、私たちの調査によると、パッケージ名 "com.star.trek" というアプリは、"Retro Live" というアプリを改造し、SMSメッセージによってプレミアムサービスを購読させるコードが埋め込まれたものであることがわかりました。
"Retro Live" というアプリは現在Google Playストアでは利用できなくなっていますが、今回発見したマルウェアはこの正規アプリを改変した初めての例ではありません。私たちはサードパーティーのサイトにおいて、正規アプリ "Retro Live" に悪意あるコードを埋め込みリパッケージしたトロイの木馬を少なくとも3つ確認しています。
"Beautiful Photo" の場合、"I Love Filter" とは違い、英語による使用許諾はなく、その内容は明確ではありません。おそらく使用許諾に注意を払わせずに "セットアップ" をクリックするようユーザーを誘導しているに違いありません。このようにして、ユーザーが望んでいないプレミアムサービスを購読させようとするのです。
このアプリでは、SMSメッセージによるプレミアムサービスの購読機能に加え、電話番号、GPS位置情報、インストールアプリの一覧やIPアドレスといった端末情報やユーザー情報を収集するための悪意あるコードが組み込まれています。
さらに、このマルウェアはインターネットから別のアプリをダウンロードしてインストールするコードも組み込まれています。
過去数年間、Android OSではセキュリティ機能が強化されてきました。Android 4.2(コードネーム:Jelly Bean) では、アプリケーションがプレミアム番号に対してSMSを送信する際に、オペレーティングシステムはユーザーに対してポップアップメッセージを表示し、SMSを送信する前にユーザーの同意を得る仕組みが導入されています。
また、Android 4.4(コードネーム:KitKat) からは、マルウェアによるSMSメッセージの傍受を抑制させるために、SMSアプリにおいてもデフォルトアプリケーションの概念を導入し、ユーザーが自由にSMSを受信するアプリケーションを選択できるようになりました。しかし、それにもかかわらず、マルウェア作者たちはこれらの制限を迂回する方法を模索しており、以下のケースでは、スピーカーの音量をミュートにすることで、ユーザーがSMSメッセージ受信に気づかせないようにしています。
Androidの歴史において、SMSメッセージによってプレミアムサービスを購読させる手口は以前ほど人気がある攻撃手法ではありませんが、Google Playストアのような制限されたマーケットにおいて、マルウェア作者が簡単に利益を得るための手法として依然として残っています。ユーザーはアプリをアンインストールすることで、サービス購読を停止できると勘違いしているかもしれません。もう一つのリスクは無知な子供によって、ダウンロード・インストールされ、実行時に表示される確認メッセージを読まずにクリックすることで課金が発生してしまう可能性もあります。
私たちはこのマルウェアをGoogle Playストアからすぐに削除してもらうよう報告しました。なお、このような脅威から自分自身を守るためには、セキュリティソフトウェアをモバイル端末にインストールし、Google Playストア上でのアプリに対する評価やユーザーレビューをチェックするようにしてください。また、アプリ起動直後にSMSメッセージの送信を要求するようなアプリケーションに対して、許可を与えたり信頼しないようにしてください。
マカフィーモバイルセキュリティは、この脅威を Android/SmsPay として検出し、ユーザーに通知するとともにユーザーのデータ損失を防ぎます。マカフィーモバイルセキュリティの詳細についてはhttp://www.mcafeemobilesecurity.comをご確認ください。
