マカフィーは2月3日、RealPlayerと名乗るSMSマルウェアをダウンロードさせるベトナム語のアダルトアプリがGoogle Play上に出回っているとして注意を呼びかけている。
SMSを利用したマルウェアは、Android端末を狙ったものの中では大きな割合を占めており、有料SMS送信詐欺や、SMSメッセージの盗聴などが行なわれているという。ただ、これらのSMSマルウェアは、非公式のマーケット上で多く見られる一方、Google Play上ではほとんど見られていないのが現状だ。
しかし、今回のケースでは、Google Play上で展開された珍しいケースだという。このアプリは、ベトナムのユーザーを主なターゲットとした2つのアダルトアプリ。これらのアプリは、有名な動画再生ソフト「RealPlayer」を名乗ったSMSマルウェアをユーザーにダウンロードさせて、デバイス管理アプリとして登録する。
アダルトアプリは、この類いのアプリとしては通常の場合は不必要な権限要求を行なうほか、アプリを起動するとすぐにアダルト動画をフルHD解像度で閲覧するための「RealPlayer」のダウンロードを促すダイアログが表示される。これによって、外部サーバーから「RealPlayer.apk」がダウンロードされてくる。
この偽アプリをインストールしようとすると、最初に起動したアダルトアプリを更新するかどうかの確認が行なわれる。これは、ダウンロードされた偽アプリが、最初にインストールしたアダルトアプリと同じパッケージ名を利用しているためだという。
この新たにダウンロードしたアプリについてもSMS関連機能の利用といった過剰な権限をインストール時に要求する。この際、「デバイス管理アプリ」として登録するように迫っており、「あなたのボスがそうしろと言った」という「説得力があるとは思えない」(マカフィー)理由を挙げている。最後にこのアプリは、アプリのアイコンをホーム画面から削除して、通常はユーザーから見えないような細工を施す。
インストール後も「RealPlayer」を名乗っているこのアプリには、フルHDのアダルト動画を見せる機能が備わっておらず、その一方でC&CサーバーとHTTPで通信しながら悪事を働くバックグラウンド・サービスを実行する。
具体的には以下のような機能を持つ。
サーバーから指定された電話番号を相手に、指定された内容のSMSを勝手に送信する(有料SMS送信詐欺)
特定の電話番号からのSMS受信通知をブロック(有料SMSからの返信を隠匿)
サーバーからの命令でアプリの新バージョンへの更新を行なう
サーバーからの命令で、上記の機能を有効か・無効化する
ただ、現在のところ、デバイス管理アプリとして有効化された場合でも、その機能は空実装であるため、権限を悪用した処理は行なわれていないという。しかし、上記の「新バージョンへの更新」が行なわれた場合には、追加実装が行なわれる可能性も否定できないとマカフィーは説明している。
なお、このようなGoogle Play以外からのアプリダウンロードを要求するものについては「提供元不明のアプリのインストールを許可する」オプションを無効にしていれば、インストールを防げるとして、対策を呼びかけている。