Google Playにワンクリ詐欺アプリが大量発生、ユーザー情報の外部送信も

　マカフィー株式会社は10日、Android向け正規マーケット「Google Play」に日本を標的としたワンクリック詐欺アプリが大量に出回っているとして注意を促した。同社は4日にも注意喚起していたが、その後6日間で新たに120件のワンクリック詐欺アプリを発見。中には、ユーザー情報を収集し、攻撃者が所有するサーバーに送信するものも見つかっている。

ユーザー情報を収集するアプリ実行時の画面

　マカフィーによれば、詐欺アプリの開発者は3～5個のアカウントを用いて、アカウントごとに5～6個の似たような詐欺アプリを毎日投稿。その一方で、ほとんどが短期間でGoogle Playから削除されているという。詐欺アプリの大半は実装コードにわずかな違いがあるだけで、最終的には詐欺サイトに誘導するものだ。

　こうした中、マカフィーは「より危険な機能を持った亜種」を確認したと説明。具体的には、端末ユーザーのGoogleアカウント名（メールアドレス）および電話番号を取得し、それらの情報を攻撃者が所有するリモートサーバーに送信し、データベースに保存するという。

　例えば、ポルノ画像を用いたスライダーパズルゲームを用意し、パズルをクリアするとポルノ動画を再生する「えろパネ！」と題した詐欺アプリは、インストール時に携帯電話のステータスとIDを読み取ったり、アカウントを取得するなど、通常のゲームアプリでは不要とされるパーミッションを要求するのが特徴だ。

要求されるパーミッションの一覧

　実際にアプリを起動すると、ユーザーはパズルゲームを利用できるが、その背後では端末のGoogleアカウントと電話番号を取得。端末のブラウザー経由でこれらの情報を攻撃者のウェブサーバーに送信するとともに、攻撃者のMySQLデータベースサーバーに保存するという。

　このアプリではさらに、ゲーム画面の下部に何種類かの「広告」画像リンクを表示する。Google Playのアプリ説明ページでは、リンク先の広告の内容の安全性について責任を持たない旨が記載されており、アプリ側では実際の広告の内容を知らないことを暗に示している。

　しかし、このアプリは自身に含まれる数種類の画像ファイルを広告画像として表示。それらがクリックされると明示的に詐欺ページをブラウザーでロードする。この詐欺ページのURLは、マカフィーがこれまで確認した一連のワンクリック詐欺アプリの多くで使用されているものと同じだとしている。

　マカフィーによれば、このアプリはGoogle Playに追加されてから1日以内に削除されたため、被害者はほとんどいないと推測。その一方で、この亜種が作成された事実は、一連の詐欺における攻撃者がユーザーの情報収集を意図していることに加え、詐欺ページの表示以上の高度な機能の実装技術を有していることを示していると分析している。