カスペルスキーは9月14日、ポケモンGO関連にみせかけた不正アプリ「Guide for Pokemon Go」を発見したと報告した。
Kaspersky LabがGoogle Play上で発見(Android用)。インストールするとroot権限を取得するトロイの木馬が仕込まれており、別の不正アプリのインストールやアンイストール、迷惑広告を表示する。すでに50万回以上がダウンロードされ、少なくとも6000件以上のマルウェア感染が発生したとみられている。該当アプリはすでにGoogle Play上から削除されている。
大人気のアプリが公開された場合、このように便乗するマルウェアは珍しくないが、Kaspersky Labが解析したところ最近のマルウェアの手口が分かるという。Guide for Pokemon Goはインストール後に起動してもすぐには起動せず、ユーザーが別のアプリをインストールまたはアンインストールし、さらに2時間ほど経過してから活動を開始する。
これはサンドボックス(仮想環境)の上で走っていることをマルウェア側が確認するための行動で、さらに起動した後はデバイス情報を収集してサーバーにアップロードし、サーバーから応答があった場合にのみ追加マルウェアをダウンロードしてインストールする。
サンドボックスや仮想マシンの上でないことを複数回にわたって確認することで検出を逃れる方法だが、カスペルスキーによれば、同種の不正アプリは昨年以降増加傾向にあり、信頼のおける開発元からのアプリをインストールすること、マルウェア検出ソフトのバージョンを最新にしておくなどの対応が重要としている。同社の製品はすでに対応しており、HEUR:Trojan.AndroidOS.Ztorg.adの名前で検出しブロックする。