トレンドマイクロは、2015年3月、Android のリパックアプリを中国のアプリストア上で多数確認しました。これらのアプリは「無料」とされていますが、実際には、さまざまな広告の表示や、「高額料金が発生するサービス悪用」によって、ユーザは最終的に時間とお金を費やすことになります。なお、Google の公式アプリストア「Google Play」ではこれらのアプリは確認されていません。
こうしたアプリの配布には 2通りの手口があります。1つは、中国の企業によってローカライズもしくはリパックされ、さまざまな目的のために利用される海外のアプリ。もう 1つは、有料のアプリをリパックし、広告やコードを追加した無料の海賊版です。いずれの場合も、リパックされたコードが不正である恐れがあります。
1つ目の手口を利用した事例では、中国の地元企業がアプリ開発元と契約して、中国市場向けにアプリをローカライズしました。この契約には、翻訳や、中国市場で適用できる決済方法への変更などが含まれます。しかし、悪質な企業は、この段階で自社のコードを追加し、広告を増やしたり、SMS のメッセージ(以下、テキストメッセージ)の番号を介して、ユーザから金銭を窃取する可能性があります。
こうした広告は、ユーザの位置情報や携帯電話の型番、またインストール済みのアプリの情報をユーザから明確な許可を得ずに収集します。これらのアプリはまた、状況によっては、ユーザが誤ってボタンをクリックし、SMS で決済してしまうように設計されている可能性があります。また、図1 のコードで確認できるように、決済通知が傍受される可能性もあります。
図1:SMS の決済通知を傍受するコード
2つ目の手口の事例は、個人または企業が有料アプリを改変してコードを埋め込んだ海賊版のアプリを作成し、中国の大手アプリストアで配布したものです。広告や別のアプリと偽ってダウンロードさせることにより、リパックされたアプリはアプリストアで人気のアプリとなり、何百万回もダウンロードされました。
図2:「Minecraft」のリパックアプリ。1週間で 5万2千回ダウンロードされた
これらのアプリは起動すると、複数の広告を表示します。そして終了しようとすると、別のアプリがダウンロードされ、さらに多くの広告が表示されます。弊社では、セキュリティ対策アプリと称して、不正アプリが広告されている事例も確認しました。この不正アプリは、ルート権限を必要するため、削除が困難になります。図3 は、こうした不正アプリの広告の例です。
図3:起動画面に表示された広告。他の不正なアプリに誘導する
図4:図3 の広告からインストールされたアプリが要求するアプリのパーミッション
さまざまな詐欺にアプリが利用されていることは大きな問題となっています。図5 は、ゲームアプリ「Monument Valley」に広告のコードを追加したリパックアプリです。また、このアプリはユーザに偽のメッセージをランダムに表示して、電話詐欺に誘導します。
図5:「Monument Valley」のリパックアプリ。52万回ダウンロード済みと記載
このアプリは、システム通知を介して広告を表示し、以下の Webサイトに誘導します。
hxxp://abcdefg2.jjzl.com.cn/tmall3_daigou/ip6.php
この Webサイトは、約100ドル(2015年3月18日時点、約12,100円)で iPhone やその他の携帯端末を代金引換で購入できるとうたい、氏名や電話番号、発送先の住所を入力するようユーザに求めます。この事例では、「前払い配送料」として支払いを求める電話を受けたユーザの事例が少なくとも 1件確認されました。
こうした個人情報の窃取が詐欺の最終目的です。この詐欺に関わる不正プログラムは、弊社の製品では「ANDROIDOS_SCAMAD.HBT」として検出されます。上述の事例では、電話番号を変更しない限り、ユーザは詐欺に関わる電話をさらに受け取る恐れがあります。
図6:iPhone の販売を告知するアプリ
図7:ユーザの個人情報を収集する Webサイト
図7 は、iPhone 5S の各機種が販売されていることを示しています。ユーザは、その次の 3箇所に個人情報を入力し、下の 2つのボタンのいずれかをクリックします。これにより、入力した個人情報が攻撃者の手に渡ります。
本稿で取り上げた不正なアプリは、主に中国の大手アプリストアで人気アプリの上位にランキングされたアプリから確認されました。リストの上位には多くのリパックアプリが含まれており、この事実は、ユーザ(特に中国のユーザ)にとって深刻です。ダウンロードする際に細心の注意が必要だと言えます。弊社では、2014年、リパックアプリの脅威に関するリサーチペーパー「Fake Apps: Feigning Legitimacy(英語情報のみ)」を公開しました。「ウイルスバスター モバイル」は、不正なリンクをブロックし、モバイルユーザをこの脅威から保護します。
参考記事:
- 「“Free” Apps In Chinese App Stores Put Users At Risk」
by Veo Zhang (Mobile Threats Analyst)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)