トレンドマイクロは、モバイル向けゲームアプリ「スーパーマリオラン」に便乗する Android端末向けの悪質な不正アプリを新たに確認しました。前回、「スーパーマリオラン」はもとよりさまざまなゲームの中に登場する世界的な人気キャラクター「マリオ」に便乗する不正・迷惑アプリにおける脅威の実情を報告しましたが、今回はその続編としてさらに悪質さを増す偽アプリの脅威について検証します。
スーパーマリオランは任天堂が提供するスマホをはじめとしたモバイル向けの人気ゲームアプリです。2016年9月の iOS版公開発表に続き、先月 3月23日には Android版のアプリが公開されました。「スーパーマリオラン」に限らず、昨年ブームとなった「ポケモン Go」に便乗した多数の偽アプリが登場した事例など、人気のゲームアプリやそのキャラクターは、不正・迷惑アプリを使ってモバイル端末上での悪事をたくらむサイバー犯罪者の格好の標的となっています。
トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Mobile App Reputation(MAR)」が入手、解析した不正・迷惑アプリのうち、タイトルに「Mario」を冠するものは 2012年以来 2017年3月末までに累積で 6,500件以上に上ります。そのうち、2017年に入ってからの 3カ月間だけで 400件以上の「Mario」の偽装を確認しています。
中でも、昨年12月には「Super Mario Run」のアプリ名をかたる不正・迷惑アプリを初めて確認しており、2017年3月末までに同様のアプリを計34種確認しています。昨年9月の iOS版登場以降、Android版「スーパーマリオラン」の登場を待ちわびていた利用者を罠にかけようとする手口の悪質化が伺えます。
今回はこの「Super Mario Run」をかたるアプリの中でも、特に悪質な不正アプリ「Fobus(フォーブス)」のふるまいを解説します。
- 「AndroidOS_Fobus.OPSF」
この不正アプリは、アプリ名「Super Mario Run」として海外のサードパーティマーケットで頒布されていました。インストール時に複数の情報やアクセス権限を要求し、インストールされると電話番号や連絡先、位置情報や SMSメッセージといった機微な情報を端末上から取得します。
図1:「AndroidOS_Fobus.OPSF」のインストール画面の例また、利用者に存在を気づかれにくくするためにデバイス管理機能の有効化を行うことでインストール後にアプリのアイコンを非表示にしたり、アンインストールを容易に行えないようにしようとしたりする挙動も確認しています。
この不正アプリの挙動として、最も特筆すべき点がクレジットカード詐取をねらうふるまいです。利用者がこのアプリのインストールされた端末で Google Play を起動すると偽のクレジットカード情報入力画面をポップアップさせクレジットカード情報の詐取を試みます。背景のグレーアウトされた箇所をクリックしてもポップアップ画面を閉じることができないため、利用者はクレジットカード情報欄に入力して先に進む以外で Google Play にアクセスすることができない状況に持ち込まれます。
図2:Google Play 起動時に「AndroidOS_Fobus.OPSF」によって表示される偽画面の例有効なクレジットカード情報を入手できるように、カード番号のチェック機能が網羅されており、先頭の番号からクレジットカードの種類を識別したり、無効な番号が入力された場合にはエラーメッセージ “Incorrect credit card number” を表示したりします。
図3:クレジットカード番号をチェックする偽画面の例さらに悪質なことに、利用者が有効なクレジットカード情報を入力した場合、カードの所有者名、有効期限、セキュリティコードの入力項目が表示されこれらの情報の入力を完了すると、続いて誕生日、住所、電話番号といった所有者の個人情報の入力が要求されます。最終的に全ての情報を入力し終えると Google Play にアクセスが可能となります。
図4:有効なクレジットカード番号と付随情報、各種個人情報を詐取しようとする偽画面の例このアプリの挙動は、これだけに留まりません。インストール時に取得した権限を駆使して、外部の C&Cサーバと通信を可能にし、攻撃者が遠隔操作によって端末のパスワードをリセットできる、すなわち攻撃者が端末をロックできるようプログラミングされていることも確認しています。
■被害に遭わないためには
人気のゲームなどに便乗し、利用者をだまして、不正・迷惑アプリをインストールさせようとする手口はもはや攻撃者の常とう手段となっています。このような不正・迷惑アプリはそのほとんどが海外のサードパーティマーケットで頒布されています。一般の利用者の中には、まだ正式に公開されていないアプリがいち早く手に入る、本来は有料のアプリが無料で手に入るなどの理由からサードパーティマーケットを利用している方がいるかもしれません。それらはそもそも正規版ではないアプリであり、安全が保証されたものとは言えません。基本、正規の Android向けアプリマーケットである「Google Play」の他、運営者がはっきりしている信頼できるサードパーティマーケットからのみ、アプリをインストールするようにしてください。
また、攻撃者は「Google Play」にみせかけた偽のアプリマーケットを用意したり、友人になりすまして SNSに不正アプリに誘導するリンクメッセージを送りつけてきたりする可能性もあります。Android OS のセキュリティ設定から「提供元不明のアプリのインストールを許可する」の設定を無効にしておくことで、サードパーティマーケットやインターネット経由での不用意なインストールから端末を保護できます。意識して信頼できるサードパーティマーケットからアプリをインストールする場合のみ、「提供元不明のアプリのインストールを許可する」の設定を有効にしてインストールを行ってください。
今回確認された「Super Mario Run」に便乗する不正アプリでも悪用されたように、利用者に気づかれないよう他のアプリをインストールさせる、自身のアイコンやプロセスを隠す、などの不正活動のためにはデバイスの管理権限が必要です。インストール時にデバイスの管理権限を要求された場合、不正・迷惑アプリの可能性が高い可能性があるとして、より注意すべきです。
以下のようなデバイスの管理権限を要求する表示があった場合、アプリの稼働内容に対して妥当かどうか、再確認してください。ゲームをプレイするために画面ロックやその解除パスワードの変更要求が行なわれるのは、明らかにおかしいことに気づけるはずです。
図5:「AndroidOS_Fobus.OPSF」インストール時にデバイス管理機能の有効化を要求する画面
■トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスター モバイル」、法人利用者向けには「Trend Micro Mobile Security™」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Mobile App Reputation(MAR)」技術や「Webレピュテーション(WRS)」技術により、不正/迷惑アプリの検出や不正/迷惑アプリに関連する不正Webサイトのブロックに対応しています。
※調査協力:Jordan Pan、山本 将史(Regional Trend Labs)