ワンクリ詐欺アプリ新手口、Android端末内のプライベート画像を外部にアップ

　株式会社シマンテックは、Android端末をターゲットにしたトロイの木馬「Android.Oneclickfraud」の最新バージョンにおいて、その恐るべき手法がさらに進化したとして注意を呼び掛けている。Android OSの仕様が悪用されており、端末内に保存してあるプライベート写真などの画像ファイルが外部に流出する恐れがある。

　Android.Oneclickfraudは、アダルトコンテンツ見たさにユーザーが端末にインストールしてしまうのを想定し、Androidのアプリケーションパッケージとして出回っているマルウェアだ。いわゆる“ワンクリック詐欺アプリ”の部類で、今年1月に見つかった。

　インストール時にアカウント情報やインターネット接続などへのパーミッション（アクセス許可）が要求されるため、よく確認もせずにインストールしてしまうと、デバイスIDやGPS位置情報、電話番号、メールアカウントといった情報がアプリによって収集され、詐欺師のもとに送信されてしまう羽目に陥る。

　その後は5分おきに、ユーザーにアダルトコンテンツの代金を支払うよう要求するウェブページを表示。端末から収集した個人情報などをそのページに表示し、支払わなければユーザーを突き止めると脅迫する手口だ。

「Android.Oneclickfraud」が表示するウェブページ（シマンテックのウイルス情報ページより画像転載）

　新たに見つかった最新バージョンでは、端末内の画像を外部サーバーにアップロードできるようになっているという。シマンテックによると、これは、Android OSにおいては、アプリが端末から画像を読み込む際に特別な権限が要求されない設計になっているため。インターネット接続などの権限と組み合わせることで、リモート操作で画像が転送されてしまうとしている。

　なお、画像の転送先サイトは現在オフラインになっている模様だが、シマンテックでは「今後、より手の込んだ恐喝の手口を実現するための道具として画像が使用される」とみている。このような悪質なアプリをうっかりインストールしてしまうとユーザーのプライバシーが流出する可能性があるとし、「セキュリティ上、信頼できる場所以外で提供されているアプリは、インストールしないように」と呼び掛けている。

「Android.Oneclickfraud」最新バージョンが送信するデータの種類（シマンテック日本語版セキュリティレスポンスブログより画像転載）

　スマートフォンから個人情報などを抜き取る同様の詐欺アプリではこのほか、端末のシャッター音を鳴らしたり、バイブレーション機能で端末を振動させることでユーザーを動揺させる手口のものを、すでにトレンドマイクロ株式会社が報告している。