2014年2月上旬、ゲームアプリ「Flappy Bird」削除後に偽アプリが確認されたことを本ブログ上で報告しました。トレンドマイクロでは、この背景を調査する過程で、同じように危険性の高いモバイルアプリを作成および配信している複数のサードパーティのアプリストアを確認しました。
問題のサードパーティのアプリストアは、いずれもベトナムのモバイルユーザを対象にしており、人気のアプリに広告もしくは不正なコードを挿入したアプリを配信しています。こうしたアプリはユーザのプライバシーを脅かし、金銭的損失につながる恐れもあります。前回報告したトロイの木馬化したアプリは、「高額料金が発生するサービス悪用」を利用して利益を得て、コマンドを受信するためにコマンド&コントロール(C&C)サーバに接続するものでした。
今回確認されたサードパーティのアプリストアの 1つは、Google の公式アプリストア「Google Play」を模倣したもので、さまざまな人気のアプリをトロイの木馬化して配信しています。図1のように、Google Play専用のアプリ「Play Store」の偽バージョンもありますが、ユーザはこのサードパーティのアプリストアに誘導されるだけです。
 |
このサードパーティのアプリストアにあるアプリは、広告を表示するコードが追加されています。こうした広告からの収入は、開発者ではなくサイバー犯罪者の利益となります。広告から送信される情報は、図2 のようにユーザの電話番号、Eメールアドレスおよびモバイル端末情報などとなっています。
 |
また、この広告用モジュールは、モバイル端末上で実行されるコードを遠隔から読み込み、実質的にバックドア型不正プログラムとして機能する可能性があります。これにより、ユーザは大きな危険にさらされます。
 |
この不正なコードを含んだアプリは、「ANDROIDOS_FLEXLEAK.HBT」として検出されます。
弊社は、また、危険なサードパーティのアプリストア(図4)も確認しています。このアプリストアだけで、500個以上の「OPFAKE」の亜種が提供され、Flappy Birdを装う不正アプリの 1つも、このアプリストアからダウンロードされました。これらの不正アプリは、不正な広告を表示するコードだけでなく、ユーザから直接金銭を窃取するために「高額料金が発生するサービス悪用」を利用しています。
このアプリストアでは成人向けアプリも販売されており、これらのアプリを利用するためにユーザは「SMSのメッセージ(以下、テキストメッセージ)」経由で支払うことになります。
 |
図5 のアプリストアも、前述したアプリストアと同様に不正なアプリストアですが、7万回以上の高いダウンロード数を記録しています。
 |
今回の事例により、危険性の高い不審なサードパーティのアプリストアが誰でもアクセスできるインターネット上にも多く存在していることが明確になりました。公式のアプリストアで入手できないものや、有料アプリの海賊版を入手するために、このようなサードパーティのアプリストアを訪れるユーザも多いでしょう。また、端末や地域によっては公式のアプリストアが使用できないため、これらのアプリストアを見つけたユーザもいたでしょう。
しかし、このような不審なアプリストアを利用するのは、一か八かの賭けです。一般的でないサードパーティのアプリストアは、その運営母体や運営実績などを確認し、信頼性を判断する必要があります。不審なアプリストアでは、不正なアプリの監視や削除は厳格でない可能性があります。こうしたアプリストアで入手できるアプリは、不正なものかもしれないと考えて下さい。一見正規アプリのようでも、どのような不正なコードが追加されているかをユーザが判断するのは、容易ではありません。
トレンドマイクロ製品をご利用のお客様は、「ウイルスバスター モバイル」「Trend Micro Mobile Security」により守られており、ユーザのプライバシーを侵害する恐れのある不正なコードや内容を含むアプリを検出します。
参考記事:
by Veo Zhang (Mobile Threats Analyst)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)