トレンドマイクロによると、2016年12月より任天堂からリリースされた人気アプリ「スーパーマリオラン」に便乗したAndroid端末向けの不正アプリが確認されたと発表を行いました。
この不正アプリとは、海外のサードパーティーで配信されていた「Fobus」(フォーブス)と呼ばれるもので、アプリをインストールした際に、アクセス権限を要求され、電話番号や連絡先、位置情報やSMS等の個人情報を端末上から取得を行う機能が搭載されているとのことです。
また、デバイス管理機能の有効化を行うことでインストール後にアプリを非表示にさせることやアンインストールを複雑化させるなど端末の利用者が気付かないような挙動も確認されています。
ユーザーのクレジットカード情報も狙う悪質な機能も
更にこの「Fobus」(フォーブス)の悪質な点は、アプリのインストール後に利用者が「Google play」を起動した際、偽のクレジットカード入力画面を表示し、クレジットカード情報の取得を行う点です。
このクレジットカード情報入力画面が表示された場合、他の表示画面をタッチしてもカード情報の入力以外で「Google play」へ進むことができなくなります。
また、カード情報の入力画面上で適当な番号を入力しても、カード番号が有効か識別する機能も有しており、無効な番号が入力された際、エラーメッセージが発せられます。
有効なカード情報を入力した場合は、所有者名や有効期限、セキュリティコードに加え、誕生日や住所、電話番号等の更なる個人情報の入力が促され、有効なカード情報と個人情報を入力する事で、「Google play」にアクセスできるようになるとのことです。
<図1>画面に表示されるクレジットカードと個人情報入力画面(トレンドマイクロ掲載資料より引用)
さいごに
「Mario」とタイトルが付いた不正アプリは、トレンドマイクロの統計では、2012年から2017年3月末までで約6,500件以上に上っており、2017年の3カ月間だけで合計400件以上の「Mario」の偽装アプリが確認されているとのことです。
今後も人気アプリが登場した際、正規アプリを装って個人情報の取得を狙う不正アプリが氾濫する危険性は十分考えられます。
モバイル端末の不正アプリ感染防止策として以下の対策を推奨します。
1.公式マーケットからアプリをダウンロードしましょう
※アプリをダウンロードする際は、身元不明なサードパーティーマーケットではなく、「Google Play」や「iTunes」などの公式マーケットからダウンロードしましょう。また、ダウンロードする際はレビューや評価を読むことで、そのアプリが安全か確認するようにしましょう。
2.「提供元不明のアプリ」のインストール許可を無効にしましょう(Android端末利用者のみ)
※不審なアプリをインストールしないように、Android OSのセキュリティ設定から「提供元不明のアプリ」のインストール許可を無効にしましょう。
3.モバイル端末用のセキュリティソフトを利用しましょう
※スマホ・タブレット用のセキュリティソフトをインストールしておきましょう。
関連する製品
