ニュース
iOSを狙うトロイの木馬が日本で出回る、アダルト動画サイト見て9万9000円請求される
社内用アプリ配布のための開発者向け制度を悪用か?
(2015/6/3 17:08)
“ワンクリック詐欺”のための悪質なモバイルアプリが、iOSもターゲットにし始めた。Symantecが5月末、iOSを狙うトロイの木馬「iOS.Oneclickfraud」を検知した。
アダルト動画サイトで悪質アプリ拡散、まずはAndroidがターゲットに
ワンクリック詐欺とは、インターネットを悪用した架空請求詐欺の手口。アダルト動画サイトなどを見ているうちに規約に同意して会員登録したことにされてしまい、高額な料金の請求画面が表示されるという流れだ。PCをターゲットに10年以上も前に登場し、日本でよく使われているが、最近では中国語にローカライズされた攻撃も確認されている模様だ。
Symantecによると、従来はウェブサイト上のボタンをクリック/タップさせることで会員登録したことにさせる手法だったというが、最近になって、悪質なAndroidアプリをからめた事例が確認されるようになったという。
ユーザーがアダルト動画サイトで再生ボタンをタップして動画を見ようとすると、APKファイルのダウンロードを開始。インストールはユーザーが手動で行う必要があり、Android OSから有害なアプリの可能性があるとの警告表示が出る場合もあるが、ユーザーがインストールを続けてアプリを実行してしまうと、高額な請求画面が表示される。
具体的には、登録日~3日目はキャンペーン料金で9万9000円、4日目~6日目が通常料金で30万円。「短い期日を設定しておき、その期日までに支払わない場合に料金を大幅につり上げるというのは、ユーザーをせかしてすぐにでも料金を支払わせようとする、よくある手口」(Symantec)という。なお、支払期限の6日目以降は、自宅、実家、勤務先に請求書を発送するとしている。
また、ワンクリック詐欺の支払い手段としては銀行振込が一般的だというが、今回のケースではクレジットカード払いが提示される。この手の詐欺でクレジットカード払いが確認されたのは初めてだとしており、「支払いプロセスを被害者にとってできるだけ簡単にしようと意図している」(Symantec)ものとみられる。
なお、今回使われているワンクリック詐欺アプリは、Symantecが「Android.Oneclickfraud」と呼んでいるもので、実は2012年1月の時点で確認されていたものだ。しかし、「当時はまだ短命で、おそらく法執行機関によって数人が逮捕されたことも影響してか、2012年後半になると使われなくなった」(Symantec)。
今回、それが「復活」。Symantecによると、今年5月遅くに拡散が始まり、「登場して最初の24時間でも500回以上ダウンロードされたと考えられる」としている。
ただし、Symantecではこのアプリの危険度について「危険度1:ほとんど影響なし」とレーティングしている。
「幸いなことに、この手口に引っかかってアプリをダウンロードしても、『登録』に関する請求はただ無視すれば大丈夫です。個人情報が漏えいすることはなく、アプリ自体も簡単に削除できます。」(Symantec)
iOSで初のワンクリック詐欺アプリ、「iOS Developer Enterprise Program」悪用か?
Symantecでは、このAndroid.Oneclickfraudの「再登場」を5月29日に同社公式ブログの記事で伝えたのに続き、そのiOSバージョンにあたるiOS.Oneclickfraudの登場を6月2日の記事で明らかにしたかたちだ。ワンクリック詐欺目的の悪質なiOSアプリを同社が確認したのは、これが初めてだとしている。
ユーザーがアダルト動画サイトを閲覧している過程でiOS.Oneclickfraudを端末にインストールして実行してしまうと、「eroeroou.com」ドメインのサイトに接続。3日目までが9万9000円……という同じ料金体系の請求画面などが表示される。
iOS.Oneclickfraudは、App Storeの外で配布されているアプリということになるが、ジェイルブレイクしていない端末にもインストールされるという。確証は得ていないとしながらも、Symantecは、詐欺者がこのアプリを拡散させるために「iOS Developer Enterprise Program」を悪用している可能性を指摘している。
iOS Developer Enterprise Programでは、企業などが組織内だけで使うための独自iOSアプリを従業員などに配布できる仕組みを提供している。年間299ドル(日本円では3万7800円)の参加費が必要となるが、詐欺者が自らこの制度に参加するか、あるいは盗んだ他人のアカウントを使うかして、iOS Developer Enterprise Programを悪用していることが考えられる。
Symantecでは、iOS.Oneclickfraudの署名に用いられている開発者ID証明書を無効にできるよう、すでにAppleに報告済みだとしている。
「見たことのないサイトからアプリをダウンロードすることは避け、信頼できるサイトだけからダウンロードするようにしてください。」(Symantec)