”Angry Birds” シリーズの新アプリ ”Bad Piggies” の偽バージョンを確認

少なくともモバイルアプリの脅威の世界は、非常に熾烈な競争の世界で、“Angry Birds” のブタたちが卵を必死に狙うかのようです。トレンドマイクロでは、Google Chrome ブラウザ用マーケットプレイス「Chrome ウェブストア」上でゲームアプリ “Bad Piggies” の不正アプリが配布されていることが報告された後にもかかわらず、特定の開発者もすぐに独自にこのゲームアプリの偽バージョンを公開したことを確認しています。

2012年9月27日(米国時間)、正規の Bad Piggies の公開に続き、トレンドマイクロでは、ロシアのドメインにホストされている特定のWebサイト上で、このゲームの偽バージョンを確認しています。ただし、これらのバージョンは、ゲームとはまったく関係ありません。トレンドマイクロの解析によると、これらのアプリは、「プレミアムサービス悪用」の手口を利用して、特にユーザの許可なくSMSのメッセージ(以下、テキストメッセージ)を送信することでユーザが身に覚えのない料金が請求されることから、不正であるとことを確認しています。

■Bad Piggies の偽バージョンとは
トレンドマイクロは、調査の過程で、キーワードに Bad Piggies を使用したところ、48のロシアのドメインを確認しました。これらのWebサイトは、ドメイン「piggies-<省略>d.ru」内に存在しており、アプリのダウンロード専用ページとして表示されます。

図1:“Bad Piggies
図1:“Bad Piggies” の偽アプリが組み込まれているWebページ

図1からもわかるとおり、このWebサイトは、プラットフォームに応じて問題のアプリを提供します。しかし、ユーザは、正規の Bad Piggies のアプリではなく、トレンドマイクロの製品では、「ANDROIDOS_FAKEINST.A」として検出される不正なAPKファイルをダウンロードすることとなります。この不正プログラムは、インストールされると、モバイル端末のホーム画面にショートカットを作成し、特定の番号にテキストメッセージを送信します。そして上述したとおり、テキストメッセージは、同意なく送信されます。これにより、ユーザは、許可していないにもかかわらず、余計な料金の支払いを請求されます。

モバイル端末のセキュリティを専門とするエンジニアの Bob Pan によると、「ANDROIDOS_FAKEINST.A」は、無意味なコードの挿入および文字列の暗号化をすることで自身のコードを難読化する機能を備えているようです。そして、この不正プログラムは、実行時に文字列を復号します。また、この不正プログラムは、すべてのクラス、メソッドおよびフィールドの名前を無意味な文字列で置き換え、解析を困難にします。

図2:モバイル端末のホーム画面に作成されたショートカット
図2:モバイル端末のホーム画面に作成されたショートカット

作成されたショートカットについても、注目すべきこの不正プログラムの特徴です。ショートカットがクリックされると、この不正プログラムは、特定のWebサイトにアクセスし、ブラウザの更新版をダウンロードします。しかし、この更新版は、実際は「JAVA_SMSSEND.AB」として検出される不正プログラムです。なお、「JAVA_SMSSEND.AB」も特定の番号にテキストメッセージを送信します。トレンドマイクロは、過去にも Skype のインストーラーを装ったこの不正なJavaの一種「MIDlet」を確認しています。

■新しいモバイル端末向けアプリの公開はユーザとサイバー犯罪者の関心事
これらの不正活動を企むサイバー犯罪者や他の犯罪者にとって、このような活動を行うことは習慣化しています。サイバー犯罪者たちは、彼らの不正活動にどうにかしてユーザを巻き込もうと趣向を凝らした手口を駆使します。アプリの人気を利用することはサイバー犯罪者の常とう手段ですが、今回の事例では、それに加えてメディアの報道がユーザの関心をさらに高めました。Bad Piggies は、人気ゲーム “Angry Bird” シリーズのスピンオフです。そのため、新しいアプリの公開に伴い、人気メディアから喜びの声としてニュースで取り挙げられました。

トレンドマイクロが過去に報告した不正な “Instagram” および “Angry Birds Space” のケースでも同様の事例が起こりました。Android OS を搭載した端末(以下、Android端末)向けアプリの公開やFacebookによる買収のニュースが発表された後すぐ、トレンドマイクロでは、インターネット上で不正なバージョンのアプリが現れているのを確認しています。悪意ある開発者および特定のサイバー犯罪者は、できるだけ多くのユーザを被害に巻き込むために偽バージョンのアプリを作成し、これらのアプリの人気およびメディアでの露出を利用します。

ロシアのドメインも偽アプリの開発者の間ではよく利用されています。トレンドマイクロでは、2012年の初めから7月までに、ロシアのドメインにホストされている 6,000 以上ものモバイル端末向けアプリのページをブロックしました。この数は 2,946 のサイトをブロックした去年と比べても明らかに増加しています。サイバー犯罪者たちは、フォーラム、ブログの投稿またはメールなどを介して、ユーザをこれらのWebサイトに誘導するためのリンクを拡散します。

ウイルスバスターモバイル for Android」には、「Web脅威対策」機能と呼ばれるパソコン向けの「ウイルスバスター2012 クラウド」と同じ弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」が採用されています。同基盤に採用されている「Webレピュテーション」技術により、攻撃者が誘導する不正プログラムの配布元サイトへのアクセスを未然にブロックします。

また、「不正アプリ対策」機能では、リアルタイムでアプリをチェックし、問題の偽アプリが端末にインストールされるのを未然にブロックします。

こうした Android端末を狙う脅威の被害を避けるために、すべてのスマートフォン利用者へ次の対策を講じることを強くお勧めします。

  1. セキュリティソフトやサービスを導入し、適切に運用すること
  2. Android端末の標準装備のセキュリティ機能を活用すること(「設定」-「現在地情報とセキュリティ」)
  3. 「Wi-Fi」の自動接続を無効にすること
  4. 公式の Androidマーケットや信用ある Androidマーケット以外を利用しないこと
  5. アプリをダウンロードする際、デベロッパーを確認し、ユーザのレビューにも一読すること
  6. ダウンロードするごとに、アクセス許可項目を確認し、許可する前に、そのアプリの機能上必要がどうか、十分に確認すること
  • インターネット・セキュリティ・ナレッジ
     ・無防備では危ない! スマートフォンを安全に利用するためには
      http://is702.jp/special/1090/partner/12_t/
     ・最新版 スマートフォンのセキュリティ対策
      http://is702.jp/special/991/partner/12_t/
  • 参考記事:

  • Malicious Developers Released Rogue Bad Piggies Versions
     by Paul Pajares (Fraud Analyst)
  •  翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)