| 不当な請求画面を表示し、ユーザから金銭を騙しとろうとするワンクリック詐欺。トレンドマイクロでは Android端末を標的としたワンクリックウェアに新たな手口を確認しました。 |
主に成人向けコンテンツの閲覧を装って、ユーザに何らかのボタンをクリックさせて「利用料金」を不当に請求するワンクリック詐欺。Android OS を搭載した端末(以下、Android端末)を標的に、不正プログラムとして侵入し、定期的に請求画面を表示する手口を本ブログで注意喚起しました。
/archives/4714
リージョナルトレンドラボによる継続した調査・監視活動の結果、2012年2月に新たな手法を組み込んだワンクリックウェアの登場を確認しました。
■請求画面表示の前に写真を撮られる?
侵入の手口は前回の事例同様、Webサイト経由です。成人向けコンテンツを表示する Webサイトでコンテンツを閲覧するために必要なアプリとしてダウンロードし、インストールしようとすると図1 のようなパーミッション画面が表示されます。
 |
 |
|
|
|
|
そしてこのアプリを起動すると図2 のように「Now loading!!」と言う画面が表示し、画面が消えるとカメラのシャッター音が鳴り、図3 や図4 のような請求画面を表示します。料金の請求画面としてはこれまで紹介したものと類似しています。
 |
 |
|
|
|
|
リージョナルトレンドラボと Forward Looking Threat Researcher の林憲明による調査の結果、「ANDROIDOS_FAKETIMER.SM」として検出するワンクリックウェアは以下のような動作をすることが明らかになりました。
アプリの起動時に加え、定期的な請求画面の表示の際にもカメラのシャッター音が鳴ってしまいますが、アプリには写真を撮る機能は組み込まれていません。これは、ユーザの顔写真を撮影し外部に送信された、とユーザに錯覚させる意図があるものと考えられます。シャッター音の代わりにバイブ機能を用いて定期的に振動する不正プログラムや、GPS を用いて位置情報を取得してユーザの現在位置を表示する機能を組み込んでいる不正プログラムも確認しています(現時点では接続先の Webサイトが閉鎖されており位置情報は表示されません)。前回紹介した「ANDROIDOS_FAKETIMER.A」として検出するワンクリックウェアと比較すると、「現在地」「システムツール」へのアクセスを許可するような仕様になっていることがわかります。
 |
|
|
■アプリ名だけでは判断が難しい場合も
このワンクリックウェアは通常のアプリと同様、アンインストールはすぐに可能ですが、アプリケーションの名前に予めインストールされているアプリやサービス名と類似した名前を利用しているため違いがわかりにくく、ユーザは判断が難しいと考えられます(図6参照)。
 |
|
|
トレンドマイクロが提供している「ウイルスバスターモバイル for Android」では、このような詐欺サイトへのアクセスをブロックする「Web脅威対策」を提供しており、また、万が一アプリが Android端末に侵入した場合でも、「ANDROIDOS_FAKETIMER」ファミリとして検出します。
スマートフォンやタブレットなどをご利用の方は、今一度、セキュリティ対策状況をご確認ください。
※「ウイルスバスターモバイル for Android」の 30日無料体験版はこちら。
http://is702.jp/special/1064/