マカフィー株式会社 公式ブログ

McAfee Labs] 2014年2月 3日 更新

ユーザーを騙してSMSマルウェアをインストールさせるベトナム語のアダルトアプリ

 

※本ブログは、Mobile Malware Researcher 中島大輔によるものです。
※本ブログの内容は2014年2月3日時点のものです。

SMS(ショートメッセージサービス)関連のマルウェアは今日のAndroidマルウェアの大きな割合を占めています。有料SMS送信詐欺やSMSメッセージ盗聴などがあります。これらSMSマルウェアは非公式で危険なWebサイト上で活発に公開されている一方、世界最大の公式AndroidアプリストアであるGoogle Play上でこれらを見るのは稀だと言えます。しかし、Google PlayにおいてもSMSマルウェアを仕込む抜け道は存在するようです。

McAfeeは最近、悪質なSMSトロイの木馬をダウンロードする機能を持った、ベトナムのユーザーを主なターゲットとした2つのアダルトアプリをGoogle Play上で発見しました。これらのアプリは、有名な動画再生ソフトである「RealPlayer」を名乗るSMSマルウェアを不注意なユーザーにダウンロードおよびインストールさせ、さらに「デバイス管理アプリ」として登録させようとします。


Fig.1: SMSマルウェアをダウンロードさせるベトナム語のアダルトアプリ

これらのアプリはアダルトコンテンツ閲覧アプリとして提供されていますが、この種の閲覧アプリには通常不要と思われる過剰な権限をインストール時に要求します。

アプリを起動するとすぐに、アダルト動画をフルHD解像度で閲覧するための「RealPlayer」のダウンロードとインストールを促すダイアログが表示されます。ユーザーがそれを受け入れると、「RealPlayer.apk」というアプリパッケージが外部サーバーからダウンロードされますが、もちろんこれはRealPlayerを名乗った偽物です。


Fig.2: 偽のRealPlayerのダウンロードとインストールを促すダイアログ

ダウンロードが完了しインストールしようとすると、最初に起動したアダルトアプリを更新するかどうかの確認が行われます。これは、ダウンロードされた偽アプリが最初のアプリと同じパッケージ名を持っているためです。


Fig.3: 最初のアプリを更新するかどうか確認するダイアログ

このダウンロードされたアプリもまた、SMS関連機能の使用を含む、過剰な権限をインストール時に要求します。また、インストールすると自身を「デバイス管理アプリ」として登録するようユーザーに要求しますが、その理由として「あなたのボスがそうしろと言った」と表示します(説得力があるとは思えませんが)。最後に、このアプリは自身のアイコンをホーム画面から削除し、通常はユーザーから見えないように細工をします。


Fig.4: デバイス管理アプリとしての登録をユーザーに要求するダイアログ

インストール後も「RealPlayer」を名乗っているこのアプリには、ユーザーにフルHD解像度のアダルト動画を見せる機能は全く備わっていません。その一方で、端末再起動時やその他のアプリの追加・削除時、SMS受信時に起動されるブロードキャスト・レシーバを登録し、典型的なSMSマルウェアが行っているように、C&C(コマンド・アンド・コントロール)サーバーとHTTPで通信しながら悪事を働くバックグラウンド・サービスを実行します。

このアプリは以下の悪質な機能を持ちます:

  • サーバーからの命令により指定された電話番号宛に、指定された内容のSMSメッセージを勝手に送信する(有料SMS送信)。
  • 特定の電話番号からのSMS受信通知をブロックする(有料SMSからの返信の隠蔽)。
  • サーバーからの命令により、アプリ自身の新しいバージョンへの更新を行う。
  • サーバーからの命令により、上記の機能を無効化・有効化する。

デバイス管理アプリとして有効化されても、現在のところデバイス管理機能自体は空実装であるため、特にその権限を悪用した処理は行われません。単にユーザーがこのアプリのアンインストール時に若干の手間を要する、というだけです。しかし、上で述べたように、サーバーからの命令による更新機能を用いて、アプリがより悪質な処理を行うバージョンに更新される可能性も否定できません。

このSMSマルウェアを含む、Google Play以外で配布されているマルウェアは、端末の設定画面で「提供元不明のアプリのインストールを許可する」オプションを無効にしていれば、それらのインストールを簡単にブロックすることが可能です。しかし、そうでない場合は、アプリのインストールには細心の注意を払い、特にアプリの機能と比べて過剰な権限を要求していないか確認する必要があります。

たとえGoogle Playから入手したアプリによるダウンロードのオファーだとしても決して安心せず、このようなソーシャル・エンジニアリング手法を用いたマルウェアのインストール手口にはまってはいけません。

McAfee Mobile Security はこれらのマルウェアをAndroid/PhimSms.A およびAndroid/PhimSmsDropper.A.として検出します。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Vietnamese ‘Adult’ Apps on Google Play Open Gate to SMS Trojans

Also Find Us On

マカフィーは、インテルコーポレーション(NASDAQ:INTC)の完全子会社であり、企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評のあるセキュリティソリューションやサービスを提供しています。詳しくは、http://www.mcafee.com/jp/をご覧ください。

 

Copyright © 2003-2014 McAfee, Inc. All Rights Reserved.