2012年は、人気の写真共有アプリ「Instagram」にとってたいへん意義のある年だといえます。このアプリのAndroid版リリースのわずか数日後にダウンロード数が500万に達するという大成功を収め、しかも、Instagramを開発したベンチャー企業がFacebookにより10億ドルで買収されたニュースは周知のとおりです。

ただし、こうした人気は、別のところからも注意を引く結果を招いているようです。サイバー犯罪者たちも、Android端末のユーザ向けに「Instagramの偽アプリ」を提供することで、Instagramに関わる一連の大成功や人気に便乗しています。また、こうした便乗は、どうやらInstagramだけにとどまっているわけではないようです。「TrendLabs(トレンドラボ)」では、「Farm Frenzy」や「Adobe Flash Player」の偽バージョンも含めて、そのほか複数の不正アプリがロシア拠点のドメインから提供されている事実を確認しています。さらに、「Google Play」の偽サイトの登場さえも確認しています。

以前のMalware Blogのエントリでは、トロイの木馬化されたアプリや不正アプリ等の開発者が主に中国拠点の非公式のアプリストアを介してこれらのアプリを提供している状況を説明しました。ただし最近では、Android関連の不正プログラム等を提供するロシア拠点のサイトが、これまでの中国の地位を脅かす勢いとなってきています。実際、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」のデータに基づいても、ロシア拠点のドメインから拡散する不正アプリの数は、2012年以降から急増していることが分かります。Android関連の不正プログラムが組み込まれたロシア拠点ドメインの数は、そのURL数が2011年には2,946であったものが、2012年には6,734に達しています。

Android関連の不正アプリがロシア拠点のドメインから提供されるようになった理由は何でしょうか。

上述のとおり、中国を拠点にしている非公式のアプリストアは、Android関連の不正アプリの提供が非常に盛んな“ホットスポット”となっています。中国では、Android端末に大きな人気がある一方、その公式アプリストアであるGoogle Playへのアクセスが途切れがちになる状況もあり、中国のモバイルユーザの中では、非公式のアプリストアが活発に利用されています。こうした事情に便乗し、非公式のアプリストアを介した不正アプリ配布をサイバー犯罪者たちが行なっていることが、“ホットスポット”となる理由といえるでしょう。

こうした中、ロシア拠点のドメインが、Android端末の脅威状況に新たに登場してきたわけですが、この背景には、2010年後半より中国での規制が「China Internet Network Information Center(CNNIC、中国ネットワークインフォメーションセンター)」により強化された点があげられます。この機関により、ドメイン登録の際のルールが改訂され、申請者は登録の際、正式な申請用紙に申請者の身元やその他の情報を記入の上で提出することが義務づけられるようになりました。こうした規制強化および中国当局によるサイバー犯罪撲滅への決意により、中国において匿名でドメイン登録を行おうとするサイバー犯罪者たちの行動が阻止される結果となりました。

一方、ロシアでは、ドメイン登録の規制は中国ほど厳しくありません。こういった理由から、サイバー犯罪者たちは、ロシアのドメインへと活動拠点を移動させたのでしょう。

ロシア拠点のドメインからのAndroid関連の不正アプリでNoteworthy (要注意)のものは何ですか。

以下は、トレンドラボで把握しているNoteworthy(要注意)の不正アプリのいくつかであり、いずれも、ロシア拠点のドメインのWebページにおいて確認しています。

「Farm Frenzy 3」

トレンドラボでは、人気の農場シュミレーションゲーム「Farm Frenzy」の不正版を確認しています。トレンドラボでの解析では、「ANDROIDOS_FAKE.DQ」として検出されるこの不正アプリは、高額の料金が発生する電話番号へ「SMS のメッセージ(以下、テキストメッセージ)」を送信するような不正活動を行うことを確認しています。この不正活動により、感染したユーザには、見覚えのない料金が請求されることとなります。

「Android版Instagram」および「Angry Bird Space」

2つとも、数百万のユーザにダウンロードされる人気アプリの代表格です。サイバー犯罪者たちも、この人気に便乗し、これらのアプリの不正バージョンを作成しています。双方とも「ANDROIDOS_SMSBOXER.A」として検出される不正プログラムであり、リモートサイトからダウンロードされるファイルとしてコンピュータに侵入します。このリモートサイトは、それぞれのアプリケーションの無料ダウンロードを提供するサイトを装っています。この不正プログラムは、ダウンロードされたアプリを有効化すると称して、ユーザにテキストメッセージ送信の許可を求めますが、実際には、特定の番号へテキストメッセージが送信されてしまいます。また、この不正プログラムは、特定のURLへの接続も行います。

「偽Adobe Flash Playerアプリ」

< トレンドラボでは、ロシア拠点の別のドメインを使用したWebページにおいて、「Adobe Flash Player」の偽アプリの存在を確認しています。この偽アプリのダウンロードをユーザに促すために、Webページ上には、「Android OSにも対応」などの文言も記されています。ユーザがこの偽アプリをダウンロードしてインストールすると、このサイトから別のURLへと接続され、「ANDROIDOS_BOXER.A」として検出される不正なAPKファイルがダウンロードされることになります。この不正プログラムは、海外の国番号およびオペレーションコードなどに基づき、テキストメッセージをユーザが気づかない間に送信します。これにより、ユーザは高額な料金を請求されることになります。 

不正アプリや偽アプリ以外で要注意な事例はありますか。

「Google Play」の偽サイト

2012年3月、「Android Market」の名称が「Google Play」へと変更された際、サイバー犯罪者たちは、この出来事にも便乗し、自分たちで「偽Google Play」のサイトを作成していました。この偽サイトも、ロシア拠点のドメインが利用されており、このサイトを閲覧したユーザを「ANDROIDOS_SMSBOXER.AB」として検出される偽アプリへ感染させる手口となっていました。この不正プログラムに感染すると、高額の請求料金が発生するサービスをユーザの許可なく利用させられることになります。

なぜ、こうした状況は、要注意に分類されるのですか?

不正なアプリやトロイの木馬化されたアプリの存在が、Google Playや中国拠点の非公式アプリストアに限定されなくなったという点が理由としてあげられます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」のデータに基づくと、ロシア拠点のドメインが利用されたAndroid関連の不正サイトとして、トレンドラボでブロックした数は、2012年1月から7月4日までのトータルで6,734にも達しています。これは、2011年にブロックしたロシア関連サイトの合計数2,946に比べても大きな増加であるといえます。


図1:ロシア拠点のドメインが利用されたAndroid関連の不正サイトの 2012年におけるブロック数


図2:ロシア拠点のドメインが利用されたAndroid関連の不正サイトの 2011年におけるブロック数

これまでに偽装されたアプリがいずれも「人気のモバイルアプリ」であった状況を見ても、ロシア拠点のドメインの背後にいる不正開発者たちも、こういったアプリ人気に便乗しようとしていることが分かります。例えば、ユーザが待望する中で登場したAndroid版Instagramも、登場からわずか一週間でダウンロード数は500万回にも達しました。こうした状況の中、この「Instagramブーム」の波に乗ってサイバー犯罪者たちが自分たちの不正バージョンを作成し、なおかつ自分たちの偽装Webページから提供しようとするのは当然のことでしょう。Google Playの偽ページを画策したサイバー犯罪者たちも、もちろん同じ意図からAndroid Marketからの名称変更に便乗し、正規Google Playサイトと混乱してしまうユーザを見越しての手口だったいえます。

そして典型的な被害としては、「ANDROIDOS_SMSBOXER.A」のような不正プログラムがモバイル端末にインストールされると、高額の料金が発生する電話番号へテキストメッセージがユーザの許可なく送信され、結果として、見覚えのない料金が請求されることとなります。

どのようなユーザが影響を受けますか。

偽アプリを提供するロシア拠点のサイトが、その数を増大させることで、何よりもまず、Android OSのモバイル端末を使用しているユーザが大きな影響を受けることになります。こうしたユーザが、まだGoogle Playでは入手できない人気アプリをどうしても入手したい場合、別のWebページからダウンロードしようとしてリスクにさらされることになります。また、上述のとおり、Google Playの偽サイトを正規サイトと思い込んでここからダウンロードしようとしてリスクにさらされる場合もあります。

この種の脅威から、ユーザはどのようにして身を守ることができますか。

  • 必ずGoogle Playからアプリをダウンロードすること:Google Playに不審なアプリが存在する可能性はゼロではありませんが、こういった公式サイトは、Android端末のスマートフォンユーザにとって安全なアプリをダウンロードする上でも最善の選択といえます。 
  • ダウンロードするアプリをしっかりチェックすること:非公式のアプリストアからアプリをダウンロードする際のチェックはもちろんですが、Google Playで入手できるアプリのダウンロードが最善の選択ではあっても、ここにも不正なアプリが存在する可能性もあります。ダウンロードの際には、必ずそのアプリをチェックすることです。 
  • 背景の調査も行うこと:信用のおけるアプリ開発者は誰かといった背景もしっかりと調べておくことです。また、目的のアプリに関しては、そのアプリに関するレビューを読み、何か不具合が発生していないか等、他のユーザのフィードバックにも目を通しておくことが有効です。 
  • アプリの許可項目を精読すること:モバイル端末上でアプリをインストールする際、特定の項目に関する許可を求められるのが普通ですが、不正アプリの場合、そこに不必要な項目まで含まれており、それらの許可を求められる可能性があります。うっかり重要な個人情報へのアクセスを許可してしまわないためにも、インストールの際には、こういった許可項目にしっかりと目を通しておくことが不可欠です。
  • 信頼のおけるモバイル・セキュリティのアプリを導入すること:上述のような注意をどれだけ払ったとしても、不正なアプリは、ユーザの注意の隙間を巧妙に突いてくるため、これだけでは十分な対策とはいえません。信頼のおけるモバイルセキュリティのアプリを導入することで、不正プログラムがユーザのスマートフォンやその他のモバイル端末に侵入するのを未然に阻止することが可能になります。

トレンドマイクロ製品は、今回のような脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」は、「E-mail レピュテーション」技術により、スパムメールがユーザに届く前にブロックします。また、「Web レピュテーション」技術により、ユーザがアクセスする前に、不正プログラムがダウンロードされる不正Webサイトやスパムサイトをブロックします。さらに、「ファイルレピュテーション」技術により、関連するすべての不正ファイルの実行を防ぎ削除します。

Trend Micro Mobile Security」は、企業向けの包括的なモバイルセキュリティソリューションとして、スマートフォンやタブレット端末のセキュリティ対策とデバイス管理の機能をワンストップで提供し、PC向けのウイルス対策ソフトウェアである、「ウイルスバスター コーポレートエディション」と統合することが可能です。また、モバイル端末(特にAndroid端末のスマートフォン)をご使用の個人ユーザは、「ウイルスバスター モバイル for Android」により今回のような脅威を防ぐことができます。

トレンドマイクロの専門家からのコメント:

Android関連の脅威の多くは、いわゆる非公式のアプリストアを介してもたらされます。これは、こうしたアプリストアが不正であるというよりも、開発者から提供されるアプリをしっかりと管理・精査する十分なリソースがアプリストア側にないという実情に起因しています。この結果、不正なアプリや、再パッケージされたアプリ、偽アプリなどが、こういったアプリストア上で散見される状況となっています。
- スレット・アナリストKervin Alintanahin