モバイルアプリケーションでは、たいていの場合、その機能を表現したアプリ名がつけられています。最近私たちは、Google Playストア上で意図的に異なるアプリ名が付けられている悪意あるアプリを発見しました。
すべてのAndroidアプリケーションは、端末やGoogle Playストア上で一意に識別されるパッケージ名として知られている固有IDを持っています。Google Playストア上で公開されている多くのパッケージ名はアプリの機能と関連しています。例えば、写真アプリの場合には "photo" という文字がパッケージ名によく使用されます。もし私たちが "com.star.trek" というパッケージ名を目にした時、おそらく私たちはあの有名なSFシリーズを想像するでしょう。しかしながら、アプリケーション名やその説明からすると写真編集アプリであるように思われます。
Google Playストアの情報によると、このアプリは100万回以上もダウンロードされており、人気があるにもかかわらず、その割には低い評価 (3.5) となっています。
このアプリの怪しい点は、アプリ名 "I Love Filter" と、画面上部のバナーに表示されているアプリ名 "Wonderful Cam" とが一致していない点です。さらに、ユーザーレビューを見ることで、私たちは低い評価となっている理由を見つけることができます。
あるレビュアーは、このアプリはSMSメッセージを使い金儲けをしているとコメントしています。実際このアプリは技術的には古いものの、収益性が高いモバイルの脅威の1つであるSMSを送信するトロイの木馬なのです。SMSトロイの木馬は、特定のプレミアム番号と呼ばれる電話番号に対してSMSメッセージを送ることで、通常のSMSメッセージよりも高額な料金が請求されます。また別のケースでは、プレミアムSMSによる高額課金の代わりに特定のサービスを購読させ、購読キャンセルのメッセージが送信されるまで継続的に課金させるものもあります。私たちがこのアプリをインストールした後、SMS送信の権限を要求していることを確認しました。さらに、アプリ名をよく見てみると誤字もあり、さらに疑わしさを強調しています。
アプリを起動してみると、さらに私たちの懸念事項は確信に変わりました。
アプリを起動するとすぐにプレミアムサービス購読に関するWebサイトを読み込み、ユーザーが「続ける」をクリックすることで、プレミアムサービスの購読が開始されることをユーザーに通知します。このアプリの良いニュースは、バックグラウンドで勝手に購読させるのではなく、プレミアムサービス購読にかかるコストや中断方法について説明している点です。一方、悪いニュースは、ユーザーが同意しないとこのアプリを利用することができない点です。
この動作は矛盾を抱えています。このアプリ開発者はこのアプリをフリーで提供しているにもかかわらず、ユーザーに対しプレミアムサービスを購読させ課金させようとしています。さらに、私たちの調査によると、パッケージ名 "com.star.trek" というアプリは、"Retro Live" というアプリを改造し、SMSメッセージによってプレミアムサービスを購読させるコードが埋め込まれたものであることがわかりました。
"Retro Live" というアプリは現在Google Playストアでは利用できなくなっていますが、今回発見したマルウェアはこの正規アプリを改変した初めての例ではありません。私たちはサードパーティーのサイトにおいて、正規アプリ "Retro Live" に悪意あるコードを埋め込みリパッケージしたトロイの木馬を少なくとも3つ確認しています。
"Beautiful Photo" の場合、"I Love Filter" とは違い、英語による使用許諾はなく、その内容は明確ではありません。おそらく使用許諾に注意を払わせずに "セットアップ" をクリックするようユーザーを誘導しているに違いありません。このようにして、ユーザーが望んでいないプレミアムサービスを購読させようとするのです。
このアプリでは、SMSメッセージによるプレミアムサービスの購読機能に加え、電話番号、GPS位置情報、インストールアプリの一覧やIPアドレスといった端末情報やユーザー情報を収集するための悪意あるコードが組み込まれています。
さらに、このマルウェアはインターネットから別のアプリをダウンロードしてインストールするコードも組み込まれています。
過去数年間、Android OSではセキュリティ機能が強化されてきました。Android 4.2(コードネーム:Jelly Bean) では、アプリケーションがプレミアム番号に対してSMSを送信する際に、オペレーティングシステムはユーザーに対してポップアップメッセージを表示し、SMSを送信する前にユーザーの同意を得る仕組みが導入されています。
また、Android 4.4(コードネーム:KitKat) からは、マルウェアによるSMSメッセージの傍受を抑制させるために、SMSアプリにおいてもデフォルトアプリケーションの概念を導入し、ユーザーが自由にSMSを受信するアプリケーションを選択できるようになりました。しかし、それにもかかわらず、マルウェア作者たちはこれらの制限を迂回する方法を模索しており、以下のケースでは、スピーカーの音量をミュートにすることで、ユーザーがSMSメッセージ受信に気づかせないようにしています。
Androidの歴史において、SMSメッセージによってプレミアムサービスを購読させる手口は以前ほど人気がある攻撃手法ではありませんが、Google Playストアのような制限されたマーケットにおいて、マルウェア作者が簡単に利益を得るための手法として依然として残っています。ユーザーはアプリをアンインストールすることで、サービス購読を停止できると勘違いしているかもしれません。もう一つのリスクは無知な子供によって、ダウンロード・インストールされ、実行時に表示される確認メッセージを読まずにクリックすることで課金が発生してしまう可能性もあります。
私たちはこのマルウェアをGoogle Playストアからすぐに削除してもらうよう報告しました。なお、このような脅威から自分自身を守るためには、セキュリティソフトウェアをモバイル端末にインストールし、Google Playストア上でのアプリに対する評価やユーザーレビューをチェックするようにしてください。また、アプリ起動直後にSMSメッセージの送信を要求するようなアプリケーションに対して、許可を与えたり信頼しないようにしてください。
マカフィーモバイルセキュリティは、この脅威を Android/SmsPay として検出し、ユーザーに通知するとともにユーザーのデータ損失を防ぎます。マカフィーモバイルセキュリティの詳細についてはhttp://www.mcafeemobilesecurity.comをご確認ください。
※本ページの内容は2017年1月13日更新の McAfee Blog の抄訳です。
原文: Trojanized Photo App on Google Play Signs Up Users for Premium Services
著者: Carlos Castillo(mobile malware researcher)
【関連記事】
第5回:今だから学ぶ! セキュリティの頻出用語 : マルウェアとは?
第18回:今だから学ぶ! セキュリティの頻出用語 : トロイの木馬
