2016年4月29日

株式会社Doctor Web Pacific

Google PlayはAndroidデバイス向けの最も信頼できるアプリストアですが、時に悪意のあるプログラムが検出されることもあります。この度、 Android.Click.95 に感染した190のアプリケーションがDoctor Webセキュリティリサーチャーによって発見されました。 Android.Click.95 は偽の警告やエラーメッセージを表示させることによってユーザーにアプリケーションをインストールさせます。

Android.Click.95 を含んでいるアプリケーションは全て非常に単純な構造を持ったもので、通常はアドバイスアプリや星占い、フォトアルバム（dream-books）、ジョークアプリなどの娯楽アプリケーションです。Doctor Webセキュリティリサーチャーは、 allnidiv、 malnu3a、 mulache、 Lohari、 Kisjhka、 PolkaPolaを開発元とするそのような190のアプリケーションを発見しました。少なくとも140,000のユーザーがこれら悪意のあるアプリケーションを既にインストールしています。Doctor Webではこの件についてGoogle社に報告を行いましたが、該当するプログラムの大半が未だダウンロード可能な状態となっています。

デバイス上に侵入した Android.Click.95 は、インストール直後やプログラムの起動直後ではなく6時間後に悪意のある動作を開始することで本当の感染源を隠そうと試みます。6時間後、 Android.Click.95 は自身の設定内で指定されたアプリケーションが感染したデバイス上に存在するかどうかを確認します。アプリケーションが存在しなかった場合は偽のWebサイトを開き、現在のブラウザは安全でないため別のブラウザを使用するようユーザーに警告します。アプリケーションが存在した場合は、バッテリー不具合などの別の警告を表示させます。

この予期せぬ偽の問題を解決するために、ユーザーは悪意のあるアプリケーションのインストールを余儀なくされます。 Android.Click.95 は偽のWebサイトを2分おきに表示させることでデバイスの使用を妨げ、ユーザーが確実にアプリケーションをダウンロードするように仕向けます。

悪意のあるアプリケーションをダウンロードすることにしたユーザーはGoogle Playストアの該当するセクションへリダイレクトされます。サイバー犯罪者はアプリケーションがダウンロードされる度にアフィリエイト広告の契約に基づいて収益を得ることができます。これが、 Android.Click.95 が広く使用されている理由となっています。

Doctor Web では、Androidユーザーの方は十分に警戒し、例えGoogle Playから配信されているものであっても疑わしいアプリケーションをインストールしないよう強く推奨しています。Dr.Web for Androidは Android.Click.95 を検出・削除します。そのため、Dr.Webユーザーに危害が及ぶことはありません。