※本ブログは、Mobile Malware Researcher 中島大輔によるものです。
Google Playにおけるセキュリティ関連事件として、今年最大となる可能性のある事件において、日本のユーザーをターゲットとした複数のトロイの木馬が発見されていますが、これはAndroidのワンクリック詐欺と同じ系列です。マカフィーでは、マルウェアを拡散するために使用された複数のディベロッパーアカウントを特定しており、現段階で少なくとも80種のアプリケーションがGoogle Play上に存在したことを確認しています。マカフィーではGoogle Play Securityに対し、これらのディベロッパーアカウントについて報告しており、調査とアプリの取り下げを依頼しています。
私たちが調べたところ、このアプリはワンクリック詐欺の新しい亜種が改造されたもので、ユーザーがアプリを操作しない限り 詐欺がすぐに判明しないようにアプリを技術的に「2クリック詐欺」または「3クリック詐欺」として、自動スクリーニングやスキャンのプロセスを難しくしています。
実際、こういったアプリは単に端末のWeb ブラウザー、又はアプリ内部のWebViewコンポーネントを起動しているのみで、実際に詐欺行為を行うのはそれによってロードされるWebコンテンツです。よってこのタイプのマルウェアを検知することがさらに難しくなっています。
ワンクリック詐欺は日本に特有な脅威ベクトルの系列で、PCプラットフォームの始まりから10年以上存在しています。しかし、 ここ1年ほどの アグレッシブな攻撃を見ると 、こういった詐欺の背後にいるサイバー犯罪者は 、現在モバイル分野の開拓 に熱心に取り組んでいる といえるでしょう。
2クリック詐欺や3クリック詐欺では、2つ以上のクリック 操作をユーザーに要求することによって、攻撃者はさらに簡単に 被害者が自分の意志で詐欺のサービスに登録したように信じ込ませることが可能になり、お金を支払ったり、詳細な個人情報を攻撃者に提供したりさせます。
この詐欺では、攻撃者はGoogle Play上の複数のディベロッパーアカウントを使用しており、アプリについてはどのアカウントでもほとんど同じ表現で紹介しています。これは、こういった詐欺アプリの亜種を作成・拡散することが簡単であることを示しています。実際サイバー犯罪者は、マルウェア報告によって自分のアカウントが使用できなくなると、すぐに新しいアカウントを作成し、多少の変更を加えたほとんど同じアプリを新しいアカウントから掲載しています。
さらに悪いことには、この詐欺の本質的な部分がAndroidアプリの中ではなくWebサイト上にあり、Google Playからこういったアプリが削除された後も、Webブラウジングを介して犠牲者の数が増加するリスクがあるということです。
マカフィーではこのマルウェアをAndroid/OneClickFraudとして検知します。また、この系列のオンライン詐欺で使用されているURLへのWebアクセスも検知し、ユーザーが端末のWebブラウザーを使用して不正な詐欺サイトにたどり着いてしまった場合にも保護を提供します。セキュリティ製品は最新の状態にアップデートしておくようにお願いします。McAfeeブログでは、最新の情報を随時お伝えしていきます。
関連記事
- [2013/04/10] Google Play上のワンクリック詐欺アプリ、ユーザー情報も収集
※本ページの内容はMcAfee Blogの抄訳です。
原文:Ongoing Google Play Attacks Plague Japanese with Variation on One-Click Fraud