写真編集アプリに見せかけユーザーをプレミアムサービスに加入させるトロイの木馬

トロイの木馬

モバイルアプリケーションでは、たいていの場合、その機能を表現したアプリ名がつけられています。最近私たちは、Google Playストア上で意図的に異なるアプリ名が付けられている悪意あるアプリを発見しました。

すべてのAndroidアプリケーションは、端末やGoogle Playストア上で一意に識別されるパッケージ名として知られている固有IDを持っています。Google Playストア上で公開されている多くのパッケージ名はアプリの機能と関連しています。例えば、写真アプリの場合には “photo” という文字がパッケージ名によく使用されます。もし私たちが “com.star.trek” というパッケージ名を目にした時、おそらく私たちはあの有名なSFシリーズを想像するでしょう。しかしながら、アプリケーション名やその説明からすると写真編集アプリであるように思われます。

Trojansms_googlesearchapp

Google Playストアの情報によると、このアプリは100万回以上もダウンロードされており、人気があるにもかかわらず、その割には低い評価 (3.5) となっています。

Trojansms_i_love_filter_2

このアプリの怪しい点は、アプリ名 “I Love Filter” と、画面上部のバナーに表示されているアプリ名 “Wonderful Cam” とが一致していない点です。さらに、ユーザーレビューを見ることで、私たちは低い評価となっている理由を見つけることができます。

Trojansms_ratingandreviews_4

あるレビュアーは、このアプリはSMSメッセージを使い金儲けをしているとコメントしています。実際このアプリは技術的には古いものの、収益性が高いモバイルの脅威の1つであるSMSを送信するトロイの木馬なのです。SMSトロイの木馬は、特定のプレミアム番号と呼ばれる電話番号に対してSMSメッセージを送ることで、通常のSMSメッセージよりも高額な料金が請求されます。また別のケースでは、プレミアムSMSによる高額課金の代わりに特定のサービスを購読させ、購読キャンセルのメッセージが送信されるまで継続的に課金させるものもあります。私たちがこのアプリをインストールした後、SMS送信の権限を要求していることを確認しました。さらに、アプリ名をよく見てみると誤字もあり、さらに疑わしさを強調しています。

Trojansms_appinfo410x500_2

アプリを起動してみると、さらに私たちの懸念事項は確信に変わりました。

Trojansms_premiumservice578x1024

アプリを起動するとすぐにプレミアムサービス購読に関するWebサイトを読み込み、ユーザーが「続ける」をクリックすることで、プレミアムサービスの購読が開始されることをユーザーに通知します。このアプリの良いニュースは、バックグラウンドで勝手に購読させるのではなく、プレミアムサービス購読にかかるコストや中断方法について説明している点です。一方、悪いニュースは、ユーザーが同意しないとこのアプリを利用することができない点です。

この動作は矛盾を抱えています。このアプリ開発者はこのアプリをフリーで提供しているにもかかわらず、ユーザーに対しプレミアムサービスを購読させ課金させようとしています。さらに、私たちの調査によると、パッケージ名 “com.star.trek” というアプリは、”Retro Live” というアプリを改造し、SMSメッセージによってプレミアムサービスを購読させるコードが埋め込まれたものであることがわかりました。

Trojansms_retrolive_2
“Retro Live” というアプリは現在Google Playストアでは利用できなくなっていますが、今回発見したマルウェアはこの正規アプリを改変した初めての例ではありません。私たちはサードパーティーのサイトにおいて、正規アプリ “Retro Live” に悪意あるコードを埋め込みリパッケージしたトロイの木馬を少なくとも3つ確認しています。

Trojansms_otherapps630x1024

“Beautiful Photo” の場合、”I Love Filter” とは違い、英語による使用許諾はなく、その内容は明確ではありません。おそらく使用許諾に注意を払わせずに “セットアップ” をクリックするようユーザーを誘導しているに違いありません。このようにして、ユーザーが望んでいないプレミアムサービスを購読させようとするのです。

Trojansms_premiumservice2576x1024

このアプリでは、SMSメッセージによるプレミアムサービスの購読機能に加え、電話番号、GPS位置情報、インストールアプリの一覧やIPアドレスといった端末情報やユーザー情報を収集するための悪意あるコードが組み込まれています。

Trojansms_userinfoupload_2

さらに、このマルウェアはインターネットから別のアプリをダウンロードしてインストールするコードも組み込まれています。

Trojansms_downloadandinstall_2

過去数年間、Android OSではセキュリティ機能が強化されてきました。Android 4.2(コードネーム:Jelly Bean) では、アプリケーションがプレミアム番号に対してSMSを送信する際に、オペレーティングシステムはユーザーに対してポップアップメッセージを表示し、SMSを送信する前にユーザーの同意を得る仕組みが導入されています。

また、Android 4.4(コードネーム:KitKat) からは、マルウェアによるSMSメッセージの傍受を抑制させるために、SMSアプリにおいてもデフォルトアプリケーションの概念を導入し、ユーザーが自由にSMSを受信するアプリケーションを選択できるようになりました。しかし、それにもかかわらず、マルウェア作者たちはこれらの制限を迂回する方法を模索しており、以下のケースでは、スピーカーの音量をミュートにすることで、ユーザーがSMSメッセージ受信に気づかせないようにしています。

Trojansms_silentmode

Androidの歴史において、SMSメッセージによってプレミアムサービスを購読させる手口は以前ほど人気がある攻撃手法ではありませんが、Google Playストアのような制限されたマーケットにおいて、マルウェア作者が簡単に利益を得るための手法として依然として残っています。ユーザーはアプリをアンインストールすることで、サービス購読を停止できると勘違いしているかもしれません。もう一つのリスクは無知な子供によって、ダウンロード・インストールされ、実行時に表示される確認メッセージを読まずにクリックすることで課金が発生してしまう可能性もあります。

私たちはこのマルウェアをGoogle Playストアからすぐに削除してもらうよう報告しました。なお、このような脅威から自分自身を守るためには、セキュリティソフトウェアをモバイル端末にインストールし、Google Playストア上でのアプリに対する評価やユーザーレビューをチェックするようにしてください。また、アプリ起動直後にSMSメッセージの送信を要求するようなアプリケーションに対して、許可を与えたり信頼しないようにしてください。

マカフィーモバイルセキュリティは、この脅威を Android/SmsPay として検出し、ユーザーに通知するとともにユーザーのデータ損失を防ぎます。マカフィーモバイルセキュリティの詳細については http://www.mcafeemobilesecurity.com をご確認ください。


※本ページの内容は2017年1月13日更新の McAfee Blog の抄訳です。
原文: Trojanized Photo App on Google Play Signs Up Users for Premium Services 
著者: Carlos Castillo(mobile malware researcher)

【関連記事】
第5回:今だから学ぶ! セキュリティの頻出用語 : マルウェアとは? 
第18回:今だから学ぶ! セキュリティの頻出用語 : トロイの木馬

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速