セキュリティ企業のマカフィーは、モバイル端末のセキュリティ調査レポート(日本語版)を、先月末に公開した。無料アプリのダウンロードと引き替えにマルウェアに感染し、有料SMSの請求を受けるといった、新しい手口が紹介されている。同社は無料アプリをダウンロードする前に、身を守る対策をとるよう呼びかけている。
同社によると、攻撃者は無料アプリを装い、ユーザーに不正侵入に必要な「許可」に合意させ、マルウェアをインストールさせる。ダウンロードされている危険なアプリは何十万にものぼるが、なかでも最も悪質なアプリとして、「EXPLOIT/DIUTESEX.A」「ANDROID/FAKEINSTALLER.S」「ANDROID/NOTCOMPATIBLE.A」「ANDROID/SMSEND.F」「ANDROID/FAKERUN.A」の5つを挙げている。このうち日本でも発見されたという「SMSEND.F」と「FAKERUN.A」について紹介する。
●無料アプリと引き換えに有料SMS請求が舞い込む「Android/SMSend.F」
SMS詐欺を働くマルウェアは、無料アプリのインストールによって端末に仕掛けられる。このトロイの木馬は、有料SMSの番号との間でメッセージを送受信するよう、デバイスの設定を変更してしまう。ユーザーの知らない間に、あるいはアプリの一部であると思わせてユーザー自身に、有料SMS を送信させる。「SMSend.F」は、アプリに収録されている写真、ビデオ、音楽を楽しむには、SMS メッセージを送信する必要があるとユーザーに納得させ、SMSの送信を促す。このSMSend マルウェアはマレーシアで最も流行し、日本でも発見された。
●偽りのアプリ評価でマルウェア配信を増やす「FAKERUN.A」
アプリは高評価を受けると検索結果に跳ね返り、安全と考えられてダウンロードに影響を及ぼす。ユーザーがボタンをクリックすると広告を止めるこのアプリは、その代わりにユーザーの個人情報を奪い、Google Play で5つ星の評価を付ける。高評価を受けた開発者は他のアプリも信頼を獲得し、その信用はSMS詐欺アプリなどの配布に利用される。このFakeRunマルウェアは米国、インドを含む66か国のユーザーをだまし、そのなかに日本も含まれている。
同社は、こうしたマルウェアから身を守るため、無料アプリをダウンロードする前に次のような対策を講じてほしいとアドバイスしている。
・アプリが求める許可を確認する。これらはアプリのGoogle Play ページのタブに表示されており、モバイルセキュリティソフトウェアから情報を得ることもできる。
・SMSメッセージで何かを行う、通話する、位置情報を記録する、あるいはアカウントへのアクセスを行うアプリには特に注意する。これらの許可は、最も個人的なデータにかかわっている。
・アプリをダウンロードする前に、複数のアプリストアで評価とレビューを確認する。
・開発者およびアプリの評価、内容、マルウェアの分析、許可によって何ができるのかについてのアドバイスを提供するセキュリティソフトウェアを使用する。
(2013/10/10 ネットセキュリティニュース)
【関連URL】
・マカフィー、モバイル・セキュリティに関する調査レポートを発表(2013年9月30日)
http://www.mcafee.com/japan/about/prelease/pr_13b.asp?pr=13/09/30-1
・モバイル セキュリティ 動向レポート 2013年6月(日本語版)
http://www.mcafee.com/japan/security/report/download.asp?no=80