最近、サイバー犯罪者が「海賊版アプリへの反対表明」を掲げるなどという予想もしていなかった展開が確認されたようです。もちろん、偽セキュリティソフトの手口に代表されるように、サイバー犯罪者が意図的に「インターネット上の不正活動を摘発する監視役」を装ってユーザを騙すという事例は過去にも発生しており、このような展開は今回が初めてではありません。しかし、Android関連のマルウェアという意味では初めてだといえます。そして言うまでもなく、サイバー犯罪者の本当の狙いは、「海賊版アプリへの反対表明」などではなく、もっと別のところにあります。

この脅威は、どのようにしてユーザのAndroid系スマートフォンに侵入しますか?

ANDROIDOS_WALKINWAT.A」と検出されるこのマルウェアは、通常、サードパーティのAndroid系アプリストアからダウンロードされることでユーザのスマートフォンに侵入します。とりわけ、本来なら公式の「Android Market」から正規のアプリを購入してダウンロードすべきところを、非公式のアプリストアから海賊版アプリをダウンロードしてくるようなユーザを標的にしているマルウェアでもあります。このため、このマルウェアは、実際に公式のAndroid Marketで購入できる正規アプリの「Walk and Text」を装っています。この海賊版を非公式のアプリストアから購入しようとするユーザを狙っているのです。「Walk and Text」は、Android系スマートフォンの正規アプリで、これを利用すれば、スマートフォンのカメラ機能を使用しながら同時に「いま自分がどこに向かっているのか」などの内容をテキスト送信することもできます。

この脅威がAndroid系スマートフォンにインストールされるとどうなりますか?

インストールされると、ポップアップ画面が表示され、「クラッキングを実行中です」というメッセージがユーザに伝えられます。しかし実際には、ユーザに気づかれないように情報収集活動が実行されてしまっています。収集される情報は、以下のようなスマートフォンのユーザにとって大切な個人情報です。

  • 名前
  • 電話番号
  • IMEI(端末識別番号)
  • Google Maps」を基にした位置情報
  • スマートフォンのモデル名
  • スマートフォンのブランド名
  • OSのバージョン

そしてこのマルウェアは、収集した情報を以下のリモートサイトに送信します。

  • http://<省略>orateapps.com/wat.php

こうして送信した後、何事もなかったかのように(感染したスマートフォンのコンタクトリストを利用して送信可能な)ユーザ全員に向けて、ショートメッセージサービス(SMS)でテキストメッセージを送信します。送信されるテキストメッセージには、英文で「私はAndroid用『Walk and Text』を違法ダウンロードしました。私はたった1ドルをケチッたバカです。私のような盗みはしないでください。」といった内容が明記され、海賊版アプリが使用されていることを「告発」し、最後には「皆さん、次回からは必ず正規アプリを購入するようにしましょう」などというメッセージボックスを感染したユーザ側でポップアップ表示させます。

この脅威は、どのような影響をユーザに与えますか?

このマルウェアは、外見および機能性において「Walk and Text」という正規アプリを装いつつ、同時にユーザには「自分はその海賊版をダウンロードして購入した」と思わせるという巧妙な手口を用いています。むろん、このマルウェアは、「Walk and Text」という正規アプリでも海賊版でもなく、このマルウェア作成者の真の狙いは、金銭目的の情報収集です。ユーザから個人情報を収集し、収集した情報を他のサイバー犯罪者に売り飛ばしたり、また別の不正行為のために悪用したりするということです。

なぜこの攻撃は Noteworthy(要注意)に分類されたのですか?

冒頭でも述べたように、サイバー犯罪者が意図的に「インターネット上の不正活動を摘発する監視役」を装ってユーザを騙すような事例は過去にも発生してます。「FAKEAV」など偽セキュリティソフトの手口にも似たようなものがあり、この場合、「あなたのコンピュータは感染しています」といういつもの文言ではなく、「あなたは海賊版のソフトウェアを使用していますね」というような文言でユーザの弱みにつけ込みます。また、「法的対処法を教示します」などと称してユーザを騙すケースもあるようです。なお、スパム活動においても、ユーザの違法行為を摘発したかのように見せかけて脅すケースはよくあります。

したがってこの意味では、今回のマルウェアは、従来からの脅しの手口をいわば「新しいシチュエーション」でも使えるようにするためのものと見ることができます。多くのユーザがデスクトップ型コンピュータからモバイル機器に移行していくにつれ、サイバー犯罪者側も、同じようにスマートフォンやその他のモバイル機器を標的にするようになってきたということなのでしょう。

海賊版アプリは、今後どのような影響をわれわれに及ぼすでしょうか?

モバイル機器のアプリにおいても海賊版が出回るようになったという事実は、それが単に著作権侵害という違法行為であるにとどまらず、サイバー犯罪者たちによる様々な不正活動の画策も可能にさせる結果にもなりました。今日、正規アプリの海賊版やクラッキングされたバージョンなどは、数多くのファイル共有サイトや非公式アプリストアから簡単に入手できます。また、アップル系のモバイル機器でさえ、いわゆる「ジェイルブレイク」により他のアプリを利用できることが明らかとなりました。そうした状況の中、様々なかたちで脆弱性を利用するアプリが数多く登場してきているわけです。

トレンドマイクロの製品は、今回のような脅威を防ぐことができますか?

Trend Micro Mobile Security for Android (TMMS for Android)」により防ぐことができます。Android OSのモバイル機器を使用しているユーザが、不正なAndroidアプリや正規アプリを装った偽Androidアプリなどをダウンロードしてしまうのを防ぎます。なお、日本における製品展開については現在準備中です。詳細が決定次第、正式に発表いたします。

スレッド・レスポンス・エンジニア Karl Dominguezは、この脅威に関して次のようにコメントしています。

「今回の事例は、海賊版アプリの使用が結果的にユーザ自身へ被害につながるということを理解するためにも、1つの教訓とすべきでしょう。また、例の『反対表明』のメッセージのみに限定すれば、内容的には正しいことを言っています。正規版アプリも、その価格は1米ドル程度に過ぎません。そのような金額さえ出し惜しみ、無料で手に入れられる海賊版を購入するようなことをしていると、その海賊版アプリが送信するSMSのせいで高額を請求されたり、モバイル機器の重要情報が漏えいしたりして大きな損失を被ることになってしまい、結果的にユーザは大きな損害を被ることになります。さらには、こうして人々が海賊版アプリが使い続けるようなことをしていると、正規アプリの作成者側も大きな損失を被ることとなり、正規アプリの作成自体が衰退してしまいます。これも、ユーザにとって大きな損失といえるでしょう。」

今回のような脅威を防ぐためにユーザ自身ができることは何でしょうか?

ANDROIDOS_WALKINWAT.A」などのマルウェアに感染しないための最も簡単は方法は、何よりも「海賊版アプリは絶対に購入しない」ということに限ります。アプリを購入する際は、必ずAndroid Marketなどの正規のアプリ販売サイトから購入することです。一見すると、格安の海賊版を購入する方が金銭的に有利に思えるかもしれませんが、感染したときのリスクを考えると、その是非は明らかでしょう。感染して盗まれた個人情報は、闇市場でサイバー犯罪を目的として高値で売買されます。格安だと思って購入してアプリに対して、実際に払わされた代金(代償)は、実は途方もなく大きなものだったということになりかねません。

関連マルウェア