「TrendLabs（トレンドラボ）」は、モバイル端末を狙った脅威動向を継続して監視・調査しています。2012年2月6日、公式Androidマーケットにおいて配布されていたゲームアプリ「Temple Run」のコピー（「ANDROIDOS_FAKERUN.A」として検出）を確認しました。Temple Run は、現時点では iOS のみに対応している人気ゲームアプリであるため、このアプリを確認した際何かおかしいと感じ、自らが抱いた疑惑を明らかにすべく、このアプリを解析しました。

2011年はAndroid OSの飛躍の年となりました。それと同時に、Android OSを搭載したモバイル端末（以下、Android端末）を標的とした不正プログラムが暗躍した年でもありました。本ブログでも年間を通じて紹介していたとおり、Android端末のユーザ数が増加するにつれて、サイバー犯罪者は、Android端末を狙う不正プログラムを利用してAndroidユーザから利益を得ようとしていたのです。

1月18日、京都府警サイバー犯罪対策課から、ワンクリック詐欺サイトにかかる不正指令電磁的記録供用事件の被疑者を逮捕したとの発表がなされました。発表では、被疑者らは共謀の上、アダルト動画サイト上で「動画再生」と表示されたボタンをクリックした者に対して不正プログラムの実行を促すよう設定し、事情を知らずに上記ボタンをクリックした者に不正な指令を与えるプログラムを実行させたことや、関係総サイト数は 118 であることなど、事件の概要が述べられました。警察発表以上の内容を述べることはできませんが、トレンドマイクロでは、このワンクリック詐欺で用いられたプログラムの解析などの協力をいたしました。

成人向けコンテンツの閲覧を装い「利用料金」と称して金銭を要求する「ワンクリック詐欺」。2011年からスマートフォンに特化したワンクリック詐欺サイトの出現を確認していますが、新たに不正プログラムとして侵入し金銭を請求する手口が明らかになりました。

2011年の脅威トピックとして、急速に普及を続けるスマートフォン、特に、Android OS を搭載したモバイル端末（以下、Android端末）を標的とした脅威は欠かすことのできないものでしょう。特に、Android端末を標的として不正プログラムの増加の勢いは今後も継続すると考えられます。

「サイバー攻撃」に関連する報道が前月から継続して数多く見受けられた2011年10月。企業や組織・団体が標的になる攻撃が表面化する一方で、個人ユーザにも脅威は忍び寄り、着実にその被害が現れている現状があります。

スマートフォンやタブレット端末などで多く採用されている Android OS を標的とした不正プログラムの増加傾向については本ブログでも度々注意喚起していますが、2011年8月には国内でも実際の感染被害報告がありました。2011年8月の脅威傾向を振り返りつつ、本事例を解析してみましょう。

「TrendLabs（トレンドラボ）」は、2011年8月18日、「DroidDreamLight」と呼ばれる不正プログラムの新しい亜種を公式　Androidマーケットで確認しました。「DroidDreamLight」は、Android OSを搭載したモバイル端末（以下、Android端末）用の正規アプリケーションを「トロイの木馬」化する不正プログラムの通称で、同年5月下旬、この「DroidDreamLight」によりトロイの木馬化されたアプリが公式　Androidマーケットに流通していることで話題になりました。今回確認された「DroidDreamLight」の亜種は既に　Androidマーケットから削除されていますが、削除までに50～100回ダウンロードされていたことを確認しています。

トレンドマイクロは、中国のWebサイトでモバイル端末のスパイサービスが提供されていることを確認しました。標的のモバイル端末を不正プログラムに感染させることにより、端末でやりとりされているテキストメッセージや端末のGPS情報などを外部から不正に収集します。

「TrendLabs（トレンドラボ）」は2011年8月3日、Android OS搭載のモバイル端末（以下、Android端末）でユーザの通話を記録する不正プログラムを確認し、「Malware Blog（英語情報）」上で報告しました。トレンドラボでは、この不正プログラムを「ANDROIDOS_NICKISPY.A」または「ANDROIDOS_NICKISPY.B」として検出し、中国に拠点を置くアプリケーション配布サイトで確認しました。 そしてトレンドラボは、その約1週間後の8月12日、「ANDROIDOS_NICKISPY.A」に関連する他のスパイツールを確認（「ANDROIDOS_NICKISPY.C」として検出）。このAndroid端末を狙う不正プログラムは、招待制にもかかわらずユーザ数の急増で話題を呼んでいるソーシャル・ネットワーキング・サービス（SNS）「Google+」を装うことが確認されました。