| 日本国内のAndroid OS搭載端末(以下、Android端末)の利用者を標的に、個人情報を盗む目的で作成された不正アプリ「ANDROIDOS_EXPRESPAM.A」が継続して攻撃を行い続けていることを、トレンドマイクロは確認しました。
この不正アプリに感染すると、端末上に保存されている連絡先情報が、外部サーバに不正に送信されるため注意が必要です。 |
今月初めに報告した際には、正規のアプリマーケット「Google Play」を偽装した偽マーケット使って不正アプリを配布していることが確認されていました。トレンドマイクロにおいて継続して監視を続けた結果確認された大きな特徴は、マーケットを転々としているかのごとく、配布に使われるマーケット名とドメイン、URL を変えながら、この攻撃が継続して行われ続けていることです。「Google Play」を偽っていた初期段階から、「Android Express の Play」、そして無名マーケットへとその姿を変貌させています。
 |
|
|
このような変貌を行うにあたっては、偽「Google Play」用ドメインが 2012年12月27日、「Android Express の Play」用ドメインが 2013年1月7日、無名マーケット用ドメインが 2013年1月16日に作成されていることが分かっており、不正な活動を発見されるたびに新たなドメインを作成、登録して、活動を継続させているものと考えられます。
不正アプリ配布に当たっても、一見すると、以下のようなアプリ名を持つ複数のアプリが公開されているかのように見えますが、実際には全く同じ不正アプリに誘導するのが特徴です。これも、今月初めに確認されている攻撃手法と全く同じです。
| 1月10日に報告した偽アプリ名 | 今回確認した偽アプリ名 | ||
 |
芸能人ゴシップ まとめエビFRIDAY (iEBIFRAIDAY) |
 |
Alarm Clock Final |
 |
最速充電SpeedMax (Speed Max) |
 |
スマホワンセグ |
 |
チェック (Check) |
チェック・ユア・ フォーン!! (Check Your Phone!!) |
|
 |
年賀状MAKER (Nengajyo Maker) |
 |
どこでもWi-Fi (Docodemo WiFi Co.,Ltd) |
 |
みらくるフェイス (Miracle face) |
 |
バッテリー・ キーパー (BATTERY KEEPER) |
|
100%絶対起床 (100% wakes up) |
 |
神アプリまとめ (Total God Co.,Ltd) |
 |
アプリ福袋 (apri fukubukuro) |
 |
放電王 (Houdenou Co.,Ltd) |
 |
まるごと iPhoneConverter (iphone Converter) |
 |
迷惑メールブロック (Mail Block Co.,Ltd) |
 |
セーフ・バッテリー (SAFE BATTERY) |
 |
料理の鉄人 (Cook Master Co.,Ltd) |
| 表1:ANDROIDOS_EXPRESPAM.A ファミリの拡散で使用された偽アプリ名 | |||
また、これらの偽マーケットへの誘導手段としては、便利なアプリの提供を謳ったスパムメールを使っていることも確認されています。
 |
|
|
トレンドマイクロでは、この攻撃で使われている偽マーケットのURL、アプリ配布元URL、不正アプリの通信先URLを、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「Webレピュテーション」技術でブロックするとともに、配布される不正アプリを「Mobile App Reputation」技術、ならびにパターンファイルで「ANDROIDOS_EXPRESPAM.A」で検出します。
便利ツールを謳った攻撃手段は、2012年後半から日本国内で多く確認されている攻撃手法です。アプリのダウンロードに当たっては、自ら正規アプリマーケットにアクセスした上でアプリの選択、インストールを行うことを推奨します。