2012 年 10 月、警視庁は個人情報を収集する Android マルウェアの作成と拡散に関与したとして 5 人グループを逮捕しました。しかし、少なくとも別のある詐欺グループにとって、この逮捕劇には同様の行為を抑止する効果はなかったようで、このグループは Android デバイスの所有者をマルウェアに誘導し続けていました。東京地方検察庁は、証拠不十分のため犯罪の立証に至らず、昨年 12 月、この 5 人の容疑者の起訴を断念しました。この不起訴により、日本の Android デバイスユーザーを狙ってさらに Android マルウェアが出現するという結果になっています。
シマンテックは、個人情報を収集する新しいマルウェアを発見しました(Android.Exprespam として検出されます)。Android.Exprespam は、所有者の電話番号や、侵入先のデバイスの連絡先に登録されている名前と電子メールアドレスを収集し、これまでに見つかった Android.Enesoluty(現在も活動中です)などのマルウェアと同様、偽の Google Play ページへのリンクが記載されたスパムメールを送り付けます。偽のページのホストに使われているのは、米国ワシントン州にあるサーバーで、このサイトは実際には Gcogle Play と自称している点に注目してください。この Web サイトのドメインは 12 月 27 日に登録されたばかりで、悪質な APK ファイルに含まれるシグネチャの有効期間は、1 月 2 日からとなっています。
同じサイトで 9 種類のアプリページが確認されていますが、ダウンロードされるアプリはどのページでも同じです。そのうちの 2 つの偽アプリページは以前のマルウェアで使われていた偽ツールに似ていますが、それ以外は新しいタイプです。詐欺師がアプリの種類を増やしているのは、それだけアプリがインストールされる確率が高くなることを期待しているためです。以前のマルウェアで使われていたアプリの種類が、1 つのサイトでは同時にせいぜい 3 種類しかなかったことと比べると、活動が明らかに活発化していると言えます。
図 1. 偽の Google Play サイトから取得したアプリページのスクリーンショット
インストール画面には、マルウェアが要求する許可が表示されますが、これは日本の Android ユーザーを標的にした最近のマルウェアでは定番とも言える内容です。個人情報へのアクセス、携帯電話のステータスと ID の読み取り、アカウント情報などで、類似の正規アプリであれば通常は要求されるはずのない種類です。
図 2. Android.Exprespam で要求される許可
インストールして起動すると、このアプリはユーザーのデバイスに対応していないというメッセージが表示されますが、その裏で個人情報がサーバーに送信されます。
図 3. まず初期化中という趣旨のメッセージを表示し、次にデバイスに対応していないと表示される
何らかの理由でネットワーク通信を利用できない場合には、エラーメッセージが表示されます。
図 4. 初期化に失敗したことを示すエラーメッセージ
今回のマルウェアがこれまでと違うのは、盗み出した情報をアップロードするときに SSL(Secure Sockets Layer)プロトコルを使う点です。つまり、収集されたデータはアップロード時に暗号化されることになります。盗み出した情報をわざわざ暗号化するのは、いったいなぜなのでしょうか。これは推測にすぎませんが、正規の優良企業と同じように、収集したデータには万全の保護対策をとっていると見せかけようとしているのかもしれません。あるいは、万一逮捕された場合の言い逃れとして利用している可能性もあるでしょう。
図 5. 盗み出した情報のアップロードに SSL プロトコルが使われていることを示すコード
この手のマルウェア行為を阻止できるようになるまでに、どれだけ多くの情報が詐欺師の手に渡ってしまうのか想像もつきません。法律では、少なくとも当面のあいだ歯止めをかけられない以上、自身の情報や友人家族の情報を守るためには、Android ユーザー個々人が備えるしかありません。不明な送信元からアプリのダウンロードを促すような電子メールが届いた場合には、そのリンクをクリックする前にくれぐれも慎重に考えてください。もちろん、送信元が不明な電子メールはそもそも開かないのが一番です。また、アプリは信頼できる既知のアプリベンダーからダウンロードするようにして、ノートン モバイルセキュリティや Symantec Mobile Security などのセキュリティアプリをデバイスにインストールしてください。スマートフォンやタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。