米シマンテックは4月16日、日本のAndroidユーザーから個人情報を盗み出すアプリに関する情報をブログに公開した。同社によると、名称の最後に「The Movie」が付くこのアプリは現在までに29種類確認されているという。

今回、日本で人気のあるゲームを模倣したり、ゲームに関連するビデオを再生したりといった特徴を持つAndroidアプリが、ユーザーの個人情報を盗んだうえ、電話帳に登録されていた情報も外部に送信していたことで注目された。

同社はこれまでこうした特徴を持つアプリとして、 7人の開発者による29のアプリを特定している。これらのアプリには共通のプログラミングコードが使われていることから、単独の個人または組織による犯行とも考えられるという。

「The Movie」アプリは少なくとも約7万回はインストールされていると推測されている。具体的には、同アプリはインストール時に「ネットワーク通信」「個人情報」「電話/通話」に関する権利を要求するが、同社は「個人情報や端末の ID を読み取る必要はまったくないはず」としている。端末上のアプリの名前は、Google Play上に表示されるアプリ名と一致していないという。

インストール時に不必要にアクセス権を要求する「The Movie」アプリ

「The Movie」アプリを起動すると、攻撃者が用意している外部サーバに接続してビデオを再生するために MP4ファイルがダウンロードされてしまうが、バックグラウンドでは端末の電話番号、連絡先に登録されている個人の名前と電話番号、メールアドレスなどが同じサーバにアップロードされてしまう。

同社のブログで同社が確認している「The Movie」アプリが確認できるが、いずれも現在はGoogle Playにおいて削除されている。

「The Movie」アプリがインストールされた場合のモバイルデバイスの画面。万が一、これらのアプリがインストールされていたら、即削除されたい