2013年7月30日

株式会社Doctor Web Pacific

Doctor Webは、モバイルデバイス上にAndroid.SmsSendトロイの木馬をインストールする悪意のある複数のプログラムを、Google Play上で発見しました。このトロイの木馬は有料プレミアム番号にSMSを送信し、被害者のアカウントからお金を引き落とします。Doctor WebはGoogle社に対し、このケースに関する報告を直ちに行っています。

Doctor Web のアナリストによって発見されたこれらのプログラムは、ベトナムのデベロッパーAppStore Jscのもので、アダルトコンテンツを表示させるオーディオプレーヤーや動画プレーヤーを装っています。

以下の表は、それらのアプリケーションをインストールしてしまったユーザーの数を、Google Playの統計に基づいて表したものです。

上記3つのプログラムの合計インストール数は1万1,000～2万5,000件に及んでいます。

これらのアプリケーションは一見無害に見えますが、実際にはAndroid.SmsSendトロイの木馬を含んだapkファイルが組み込まれています。Dr.WebによってAndroid.MulDrop、Android.MulDrop.1、Android.MulDrop.2と名付けられたそれらキャリアーアプリケーションは起動されると、希望するコンテンツをダウンロードするようユーザーに対して促しますが、ユーザーが同意しても目的のファイルはダウンロードされず、代わりに別のアプリケーションのインストールが開始されます。例えば、動画プレーヤープログラムは別のアダルト動画をユーザーに勧めます。

ユーザーがアプリケーションのインストールに同意してしまうと、Android.SmsSend.517トロイの木馬がデバイス上にインストールされ、マルウェアの設定ファイル内で指定された番号8775へ、ユーザーの許可なしにSMSを送信します。このトロイの木馬は、実際にアダルト動画の再生も行うことで、ユーザーからの疑いを逸らすという機能を備えている点に注目する必要があります。

2つ目および3つ目のトロイの木馬キャリアーはAndroid.SmsSend.513.originと名付けられたマルウェアを含んでおり、その動作はAndroid.SmsSend.517とほぼ同じですが、SMS送信先番号をコントロールサーバーから受け取るという点が異なっています。

Dr.Webのウイルスデータベースには、これら悪意のあるプログラムのシグネチャが即座に追加されました。そのため、Dr.Web for Androidユーザーのデバイスに危害が及ぶことはありません。