最近McAfee Labsは、Google Playストアにてホストされていた不審なAndroidのゲームアプリを発見しました。それは “Kunt u Vang de tovenaar”(オランダ語で“魔法使いを捕まえて”)というタイトルで配布されていたゲームアプリです。私たちはこのアプリを解析する中で、いくつかの不審な点を発見しました。
1つ目の不審なポイントは、Google Play上のタイトルや説明ではオランダ語が使用されていたにもかかわらず、アプリケーション内の設定ファイルに記載されたURLにはベトナムのドメインが使用されている点です。
実際のそのウェブサイトは、ベトナム向けのAndroidアプリマーケットで、Gmail、Angry BirdsやFacebookといった有名なアプリやよく知られているタイトルのアプリがホストされていました。
このアプリマーケットでホストされているアプリは、広告モジュールを含んだ、正規のアプリをダウンロードするための単なるダウンローダーアプリです。
“Cài Facebook”(ベトナム語で “Facebookの設定”)は、Facebookに対するダウンロードアプリで、正規のFacebookアプリをこのベトナムのアプリマーケットからダウンロードします。(公式のGoogle Playストアからではありません。)
いつも私たちがアドバイスしているように、ユーザは信頼されていない配布元からのアプリのインストールには注意しなければなりません。悪意あるアプリケーションは、信頼されていないマーケットやサイトでよく発見されており、デバイスが危険な状態にさらされたり、大切なデータを失うことにつながってしまうためです。
2つ目の不審なポイントは、このゲームアプリがデバイス管理者権限を利用している点です。一般的にデバイス管理者権限は、リモートロック、リモートワイプ、パスワードポリシーの変更といった、特にデバイスを紛失した時に利用するユーザのデバイスや情報を守るための強い権限です。一方で、以前に私たちのブログでも紹介したように、ランサムウェアや他のマルウェアはこのデバイス管理者権限を悪用して、感染したデバイスをロックし、金銭をだまし取ろうとする事例が報告されています。
このアプリでは、APKTrackerクラスによって、デバイス管理者権限のオン・オフ状態がこのベトナムのアプリマーケットに通知されていました。また、このアプリに実装されたデバイス管理者権限のポリシーによると、アプリケーションデータを暗号化するために、ストレージの暗号化を要求する可能性があることがわかっています。
ゲームアプリが、このデバイス管理者権限を利用するのはあまり一般的ではありません。このアプリの現在の実装では、特に端末に害を及ぼすようなコードは見受けられませんでしたが、この権限は悪意ある動作に対しても有利に働いてしまうため、今後のアプリアップデートによって悪意あるものに変更される可能性は否定できません。
さて、このアプリは単純に品質が低いアプリケーションというだけなのでしょうか。それとも、多くのユーザがインストールするまで攻撃する機会を待ち続ける怪しいアプリなのでしょうか。
McAfee Mobile Securityでは、このような怪しいアプリの脅威を検出しユーザに通知することで、予期しない事故を防ぐことができます。
※本ページの内容は McAfee Blog の抄訳です。
原文: Mobile Game Comes With Unwanted Behaviors
著者: Yukihiro Okutomi (Mobile Malware Researcher)