本ブログ記事では、これまでもモバイル利用者を脅かす様々なサイバー脅威についてお伝えしています。しかし、大きな被害事例が継続して報告されている PC の危険と比べ、モバイル端末を利用する際の危険についてはまだまだ浸透していないのが現状ではないでしょうか。本連載ではトレンドマイクロの事件対応と調査分析から判明している、最新のモバイル脅威事情をお伝えいたします。不正/迷惑アプリをスマートフォンに侵入させようとする場合、最初の段階では利用者にアプリのインストールを承諾させる必要があります。サイバー犯罪者は利用者をだまし不正/迷惑アプリをインストールさせようと様々な手口を施してきますが、特に利用者が欲しがる人気アプリに偽装する手口がよく見られます。以前の記事でも「ポケモン Go」の話題性に便乗した手口をお伝えしていますが、今回は「スーパーマリオブラザーズ」などのゲームで世界的な人気を誇るキャラクター「マリオ」で検証します。
■人気キャラクターを使い利用者を引き付ける常とう手段
「マリオ」は日本の任天堂のゲームに登場する人気キャラクターです。特に 1985年「ファミリーコンピュータ」の時代に登場した「スーパーマリオブラザーズ」が人気を呼び、以降現在まで「マリオブラザーズ」もしくは「スーパーマリオ」は任天堂の代名詞的存在となっています。これまで、任天堂が iPhone や Android端末向けゲームを出していなかった関係上、「マリオ」がスマートフォンなどモバイルのゲームに登場することもありませんでした。そして今年9月、任天堂は iOS用ゲーム「スーパーマリオラン」の先行公開を発表、「マリオ」は正式にスマートフォン進出を果たすこととなり、注目を集めました。
しかしモバイル利用者を狙うサイバー犯罪者は「マリオ」を、正式には後発となるはずの Android端末に、既に「進出」させていました。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Mobile App Reputation(MAR)」では、タイトルに「Mario」を冠するアプリを2012年以来今年11月までに 累積で9000件以上入手、解析しています。これは、任天堂が「正規版」を出していないことに目を付け、世界的なマリオ人気へのただ乗りを狙ったサイバー犯罪者の手口と言えます。正規版がない以上、これらのアプリはすべて不審な存在と言えますが、9000件のうちのおよそ 6000件は不正/迷惑アプリの活動を持つものと判定されました。これらの不正/迷惑アプリは2016年1月から 11月の間に9万件を超える検出を確認しており、一般に出回っている脅威であると言えます。検出はインドネシアなど特にアジアの国々が多く、日本からも検出が上がっています。
図1:「Mario」に偽装する不正/迷惑アプリの検出国別割合(2016年1~11月・トレンドマイクロ調べ)
■「マリオ」を偽装する不正/迷惑アプリを解析
これらの不正/迷惑アプリのほとんどは広告表示を行うアドウェアや利用者に不要なアプリをインストールする迷惑アプリの類でした。今回は中でも不要アプリのインストールを促す迷惑アプリの典型的な活動内容について 2種を紹介します。
- 「AndroidOS_Downloader.CBTJ」
この不正/迷惑アプリは、アプリ名「Super Mario」として海外のサードパーティマーケットで頒布されていたことを確認しています。
図2:「AndroidOS_Downloader.CBTJ」のインストール画面
利用者がこのアプリをインストールし、実行してもゲームは起動しません。その代り、「アップデート」のためと称して別のアプリのインストールを促されます。
図3:インストール後起動してもスーパーマリオのゲームは起動せず、別のアプリのインストールを促される
インストールされる「9Apps」は海外のサードパーティマーケット用のインストーラであり、不正なアプリではありませんが、利用者に不要なアプリのインストールを行う迷惑アプリと言えます。 - 「AndroidOS_Dowgin.AXMD」
この不正/迷惑アプリも、アプリ名「Super Mario」として海外のサードパーティマーケットで頒布されていましたが、内容はより悪質です。
図4:「AndroidOS_Dowgin.AXMD」のインストール画面
こちらはインストール後に起動を行うと以下のような画面が表示され、実際にゲームがプレイできます。
図5:実際のゲーム画面例
実際にゲームが可能なため、一見問題の無いアプリに見えます。しかし実際には利用者の操作とは無関係に、不要なアイコンを作成する、ポップアップ広告や画面上部のバナー広告を表示する、アプリのインストールを開始する、などの迷惑かつ不正な活動も行われます。
図6:不正アプリインストール後に作成されているアイコンの例
図7:不正アプリインストール後に表示されるポップアップ広告の例
図8:表示されるポップアップの中でも偽のセキュリティ警告を偽装している例
図9:画面上部に表示されるバナー広告の例
これらのアイコンや広告をクリックするとアダルトサイトや偽のセキュリティ警告を頻発する不正サイト、他のアプリのインストールを促す表示などに誘導されます。いずれの場合も最終的な目的は他のアプリをインストールさせることです。インストールを促されるアプリには正規のアプリマーケットである「Google Play」上の無害な一般アプリの場合もありますが、サードパーティマーケットやインターネット上の不審なアプリや「機器管理者」の権限を要求する不正アプリもありました。
図10:不正アプリによる機器管理者権限の要求画面例
■被害に遭わないためには
今回はまだ正規版が出ていない人気キャラ「マリオ」に着目し、不審なアプリの存在を確認しました。このように、正規の方法では入手できないゲームなどと称し、不正/迷惑アプリを頒布する手口はもはや常とう手段となっています。このような不正/迷惑アプリはそのほとんどが海外のサードパーティマーケットで頒布されています。一般の利用者の中には、まだ正式に公開されていないアプリがいち早く手に入る、本来は有料のアプリが無料で手に入る、などを求めてサードパーティマーケットを利用している方がいるかもしれません。それらはそもそも正規版ではないアプリであり、安全が保証されたものとは言えません。基本、正規の Android向けアプリマーケットである「Google Play」の他、運営者がはっきりしている信頼できるサードパーティマーケットからのみ、アプリをインストールするようにしてください。Android OS のセキュリティ設定から「提供元不明のアプリのインストールを許可する」の設定を無効にしておくことで、サードパーティマーケットやインターネット経由での不用意なインストールから端末を保護できます。意識して信頼できるサードパーティマーケットからアプリをインストールする場合のみ、「提供元不明のアプリのインストールを許可する」の設定を有効にしてインストールを行ってください。
利用者に気づかれないように他のアプリをインストールさせる、自身のアイコンやプロセスを隠す、などの不正活動のためにはデバイスの管理権限が必要です。したがって、インストール時にデバイスの管理権限を要求する場合、不正/迷惑アプリの可能性が高いものとして注意すべき、ということも言えるでしょう。以下のようなデバイスの管理権限を要求する表示があった場合、アプリの内容に対して妥当かどうか、再確認してください。
図11:「デバイスの管理権限」を要求するインストール時の表示例
■トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「モバイルアプリケーションレピュテーション(MAR)」技術や「Webレピュテーション(WRS)」技術により、不正/迷惑アプリの検出や不正/迷惑アプリに関連する不正Webサイトのブロックに対応しています。
【更新情報】
| 2016/12/13 | 17:35 | 本文の一部を修正しました。 |
※調査協力:Jordan Pan、山本 将史(Regional Trend Labs)、東 結香(Regional Trend Labs)