NEWS

ニュース | 最新のニュースをお届けします

Google Playにクリッカー型トロイの木馬「Dubsmash 2」が紛れ込む

この記事をシェア

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。

人気アプリの偽物がGoogle Playにアップされた。勝手に不正サイトを表示させる手口で、犯罪者はクリック数に応じた利益を得る仕組みだ。すでにこれらのアプリは削除されているものの、似たような手口が今後も現れるおそれがある。

おもしろ動画が作成できる人気アプリ「Dubsmash」に似せた不正アプリ「Dubsmash 2」が、2015年5月下旬に連続してGoogle Play上で発見されました。

「Dubsmash 2」は、アンドロイドOSスマートフォン(やタブレット)にインストールすると感染するクリッカー型トロイの木馬です。ユーザーの見えないところで無理やり不正サイトを表示させます。ネット犯罪者はクリック数に応じて利益を得るという仕組みです。不正アプリの名前がそのままマルウェアの通称となっています。

一方、本物の「Dubsmash」は、大変人気の高い動画関連アプリです。収録されている音声ファイルの一つを選んで、その音声に合わせてユーザーが口パク動画を作成するもので、WhatsAppやFacebookメッセンジャー上で共有ができます。

「Dubsmash」の新バージョンと思ってこの不正アプリ「Dubsmash 2」をダウンロードしたユーザーは、アプリを起動すると「クリック詐欺」の被害に遭います。個人情報を盗まれるといった深刻な事態にはなりませんが、ユーザーの見えないところでポルノサイトを次々とクリックしたことになり、パケット通信料などに影響します。おそらく、次回の請求書を見てはじめて本当の被害に気づくことになるでしょう。

「Dubsmash 2」が最初に発見されたのも同じくGoogle Play上であり、1カ月ほど前にアンチウイルスベンダーであるAvastの研究者によって報告されました。
Porn clicker app slipped into Google Play imitating popular Dubsmash app By Jan Piskaek, April 24th, 2015

このとき不正アプリはすでに10万回以上ダウンロードされました。これらがすべてインストールされ、不正サイトが最低1度でも表示されたとすれば、それだけでネット犯罪者はかなりの利益を得たと思われます。

ところが、それから1カ月もたたないうちに再びGoogle Playに似たような不正アプリが次々と登場したのです。こちらはESETの研究者が発見したのですが、アプリ紹介のアイコンもプレビュー画像も前回のものとそっくりです。

以下、これまで登場した亜種を時系列に沿って紹介します。このように短期間に同じ機能をもつマルウェアが公式ストアに何度もアップロードされるのは、非常に稀なことです。

1)2015年5月20日~22日

2015年5月20日にGoogle Playに不正アプリ「Dubsmash 2」がアップロードされました。わずか2日の間に5,000回以上のダウンロードが行われ、5月22日に削除されました。4月に登場したマルウェアの亜種に相当し、仕組みも前回と同じクリッカー技術が使用されました。

2)2015年5月23日

マルウェアの作成者は間髪入れずに2015年5月23日には別バージョン「Dubsmash V2」をGoogle Playにアップロードしました。こちらも3日後には1万回以上ダウンロードされました。

3)2015年5月25日

続いて5月25日にも、これまでと同一の不正コードを実装した偽「Dubsmash 2」が現れました。

4)2015年5月26日

偽「Dubsmash 2」は翌日5月26日にも現れ、こちらもまた、これまでと同一の不正コードを実装していました。

ESETのセキュリティソフトウェアはこれら偽「Dubsmash 2」の脅威を「Android/Clicker Trojan」として検知しています。ESETからの説明を受けたGoogleは直ちに偽アプリを削除しましたので、現在は感染することはありません。

Google Playから削除された「Android/Clicker Trojan」(アイコンの背景が微妙に異なる)

また、その後のESETの調査の結果、ほかにも不正アプリがGoogle Play上で公開されていたことをつきとめました。 ESETは、過去にPlayストアから削除された別の4つのアプリもこの亜種であることを発見しました。これで、最初に発見されたものも含めて合計9件のトロイの木馬型クリッカーがわずかな期間に登場したことになります。

他の偽「Dubsmash 2」亜種(アイコンの背景の濃淡が微妙に異なる)

分析
ユーザーがこの偽アプリをインストールしても、スマートフォンの画面上に「Dubsmash」のアイコンは表示されませんし、新たな機能も追加されません。インストールされるのは、本物の「Dubsmash」と全く異なる偽装アプリです。

赤枠で囲われているのが表示されるアイコンの例

上の画像のように、何気ないゲームやシステム関連のアプリのアイコンが表示されます。これらをタップしても起動アイコンは表示されません。ですが、常にバックグラウンドで動いており、ポルノサイトにアクセスさせ、クリック詐欺を介してマルウェア作成者は利益を得ようとします。こうした不正行為は、ユーザーが閲覧しているサイトを変えたタイミングで発生します。

ところで、マルウェア作成者は、マルウェアがやりとりを行うサーバーのURLを暗号化していませんでした。仕組みとしても、それほど巧妙なものではなく、ネット犯罪者といってもおそらく初心者の犯行と推定されます。ちょっとした小遣い稼ぎのつもりなのでしょう。

ただし、最後のバージョンだけは、少しだけ工夫がなされていました。

アンチウイルス機能のあるアプリがスマートフォンにインストールされていると、不正コードが実行されないようになっているのです。このトロイの木馬マルウェアには、インストールされているアプリ(のパッケージ名)を検索する機能があり、以下の16のパッケージ名が登録されていました。

登録されていた16のパッケージ名

com.eset.ems2.gp
com.kms.free
com.avast.android.mobilesecurity
com.symantec.mobilesecurity
com.antivirus
com.drweb
com.cleanmaster.mguard
com.cleanmaster.security
com.avira.android
com.wsandroid.suite
com.drweb.pro
org.antivirus
com.s.antivirus
jp.naver.lineantivirus.android
org.antivirus.tablet
org.antivirus.tcl.plugin.trial_to_pro

結論
同じ不正アプリがわずか1カ月の間に4度もアップロードされ、数万人のユーザーの手に渡ったことから考えると、Google Playにはまださまざまな弱点があると考えられます。マルウェア作成者は金銭目的で人気アプリの名前を悪用しました。たとえアプリが有害または不審なアクセス許可を要求していなくても、ネットで検索したり、レビューをチェックしたりするなど、十分に用心したほうがよいでしょう。

com.eset.ems2.gp
com.kms.free
com.avast.android.mobilesecurity
com.symantec.mobilesecurity
com.antivirus
com.drweb
com.cleanmaster.mguard
com.cleanmaster.security
com.avira.android
com.wsandroid.suite
com.drweb.pro
org.antivirus
com.s.antivirus
jp.naver.lineantivirus.android
org.antivirus.tablet
org.antivirus.tcl.plugin.trial_to_pro

今回の記事に登場するアンドロイド・マルウェア
*以下のマルウェア名はESETによって検知されたものです。

Android/Clicker.M

パッケージ名 com.mym.gms
MD5 BC72AD89E02C5FAA8FD84EBE9BF9E867

Android/Clicker.L

パッケージ名 com.jet.war
MD5 8788B7C60BC9021A5F6162014D7BD1A6

Android/Clicker.M

パッケージ名 com.lh.screens
MD5 A2CCD03A1997F86FB06BD1B21556C30F

Android/Clicker.J

パッケージ名 com.jet.sman
MD5 6E20146EB52AEA41DB458F494C3ED3E6

この記事をシェア

モバイルPCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!