Android端末向け偽Skypeアプリ、不正なJARファイルをもたらす

「TrendLabs（トレンドラボ）」では、これまでに “Instagram”、“Angry Birds Space” および “Farm Frenzy” の偽アプリについて報告してきました。今回は、これらに続き、インターネット電話ツール「Skype」の Android端末向けアプリを提供すると謳う Webサイトを確認。解析の結果、これらのアプリは、古いバージョンの Symbian、または Javaの一種「MIDlet」を実行するためのアプリがインストールされている Android端末で実行できる不正プログラムです。インストールされると、ユーザの許可なく高額の料金が発生する特定の番号に「SMS のメッセージ（以下、テキストメッセージ）」を送信します。

図1：Skypeの偽アプリを提供するサイト

問題のWebサイト「http://＜省略＞ndroidl.ru」は、Android端末向けにさまざまなバージョンのSkypeを提供しています。この Webサイトは、前回の偽 Instagram および偽 Angry Birds Space の事例と同様、ロシアのドメイン上にホストされていました。解析中、このアプリのダウンロードを試みましたが、アプリは Webサイト「http://＜省略＞mobile.ne」からダウンロードされていることが判明しました。

図2：JARファイルのダウンロード時

また、Webサイトが提供する別バージョンの Skype のダウンロードも試みたところ、Android用アプリのファイルとしてダウンロードされるべき APK ファイルではなく、同様の不正な WebサイトからJavaアーカイブファイル（JAR）がダウンロードされました。この JAR ファイル（「JAVA_SMSSEND.AB」として検出）は、Android端末向けSkypeのインストーラを装うMIDletです。実行されると、このファイルは、以下のインターフェイスを表示します。

図3：「JAVA_SMSSEND.AB」のユーザインターフェイス（UI）

ユーザがスマートフォンの左キーを押すと、この不正プログラムは、以下を表示します。

図4：表示されるメッセージのスクリーンショット

また、スマートフォンの右キーを押すと、モバイル端末のブラウザを「http://＜省略＞1.net/?u=1l4zi3m938o80vl」に誘導します。

インストールされると、この不正プログラムは、特定の番号にテキストメッセージを送信します。その結果、感染したモバイル端末のユーザは、送信されたテキストメッセージに対する不必要な金額が請求されることになります。

これらのSkypeの偽アプリは、Android端末向けに提供されていますが、この不正な JAR ファイルは、SIS ファイルが実行できる Symbian や MIDlet が実行できる特定の Android 端末上でも実行されます。MIDlet を実行するには、ユーザはまず Android 端末にサードパーティのアプリストアで提供される特定のアプリをインストールする必要があります。

トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によりこの脅威から守られており、今回の事例に関連する不正な JAR ファイルを検出および削除します。また、「Webレピュテーション」技術によって、関連するWebサイトへのアクセスもブロックします。その他にユーザが行える予防策として、疑わしいWebサイトからのアプリのダウンロードを控えることです。また、ユーザは、アプリの評価やレビューを読むことを習慣づけ、安全にアプリをダウンロードしてください。

こうした Android 端末を狙う脅威の被害を避けるためには、Android 端末を取り巻く環境を理解して、PC と同様のセキュリティ対策を講じることをお勧めします。

1. セキュリティソフトやサービスを導入し、適切に運用すること
2. Android端末の標準装備のセキュリティ機能を活用すること（「設定」-「現在地情報とセキュリティ」）
3. 「Wi-Fi」の自動接続を無効にすること
4. 公式の Androidマーケットや信用ある Androidマーケット以外を利用しないこと
5. アプリをダウンロードする際、デベロッパーを確認し、ユーザのレビューにも一読すること
6. ダウンロードするごとに、アクセス許可項目を確認し、許可する前に、そのアプリの機能上必要がどうか、十分に確認すること

参考記事：

　翻訳：栗尾 真也（Core Technology Marketing, TrendLabs）