端末の情報盗む「占いアプリオーラの湖」、Google Playでも公開されていた


 米Symantecは、スマートフォン内の情報を裏で外部に送信する、占いアプリを装ったAndroidアプリ「占いアプリオーラの湖」について、31日付の同社公式ブログでの調査結果を報告した。Androidアプリの公式マーケットである「Google Play」でも一時公開されていたことを確認したという。また、いわゆる“the Movie”アプリとの関連についても言及している。

 「占いアプリオーラの湖」については、日本の独立行政法人情報処理推進機構(IPA)が先週23日に注意喚起を出していた。その日に連絡をとるといい人をレコメンドしてくれるというもので、アドレス帳の情報を収集してランダムに抽出・表示する仕組みだが、実は収集したアドレス帳の情報(登録されている名前、電話番号、メールアドレス)や端末回線の識別情報を外部の不審なサイトに送信していたという。

 IPAの調査では、Google Playではないウェブサイトで公開されていたのが発見され、複数のブログや利用者の多いアプリ紹介サイトから誘導する手口がわかっていた。

 今回Symantecが報告したところによると、同アプリは、スマートフォンにインストールした際の名称が「占いアプリオーラの湖」で、ウェブサイト上では「スピリチュアル診断オーラの湖」という名称で紹介されていた。また、Google Playではないウェブサイトで公開されたのは4月18日ごろとみられるが、それより前の4月12日の時点でGoogle Playで公開されていたとしている。Google Play上でも同様に「スピリチュアル診断オーラの湖」という名称で掲載されていた。すでに入手できなくなっているが、インストール数は1000~5000だったという。

 ただし、これは「占いアプリオーラの湖」を直接インストールした端末の台数であり、アドレス帳に登録されている人の情報も盗みとられることを考慮すると、被害規模は数万~10万以上に及ぶとみている。

 なお、Symantecのセキュリティ製品では、「占いアプリオーラの湖」を「Android.Uranico」という名称でマルウェアとして検知する。

 Google Playではこのほか、同一開発者による「KoibitoSagashi」(Google Playでの掲載名称は「即エロ完全サポートマニュアル」)というアプリが4月11日に公開されていたという。こちらについてはSymantecではマルウェアとは判定していないが、アプリ内のリンクからアダルトサイトがブラウザーで開くようになっており、そのうちのいくつかのリンクが最終的にワンクリック詐欺サイトに誘導されることが調査から判明した。このアプリを使うことで、ユーザーの望まない動作をする可能性があるとして注意を促している。

“the Movie”の模倣犯? 偶然? 組織的な関連性も?

 裏でスマートフォン内の情報を盗み取り、外部に送信するアプリとしては、動画アプリを装った「○○ the Movie」(Symantec製品では「Android.Dougalek」の名称で検知)などの名称の一連のアプリが3月ごろから複数公開されていたことが、4月中旬になって判明していた。

 今回の「占いアプリオーラの湖」も同じような情報を窃取する動作をするアプリで、公開時期も“the Movie”が話題となった4月中旬であったことから、その関連性が気になるところだが、Symantecによると、異なるコードで作成されており、別々の開発者によって作成された可能性があるとしている。

 ただし、時期的にみて単なる偶然や、“the Movie”が話題なったことを受けた模倣犯の仕業ではなく、何らかの関連があるとみており、同じ組織や同じネット詐欺業界の中から発生したことはあり得るとしている。また、盗み取った情報を売買したり、最新の戦略・先述を共有している可能性も指摘している。

 Symantecではすでに“the Movie”アプリについては29種をリストアップしているが、把握できていないものも合計すれば、その2倍の種類が出回っていたことが考えられるとしている。こうした発見されていない類似アプリが存在する可能性もあることから、SymantecではAndroidユーザーに対し、アプリをインストールする際は、それが何のアプリで、どういう動作をするか、また、許可を求めてくる権限(パーミッション)の内容を確認するよう、あらためて注意を促している。


関連情報


(永沢 茂)

2012/5/31 20:19