Microsoftは6月30日(米国時間)、「Toll fraud malware: How an Android application can drain your wallet - Microsoft Security Blog」において、Androidを標的とした料金詐欺マルウェアの機能が進化しているとして、複雑な攻撃フローやセキュリティ分析を回避するために改良されたメカニズムなどを紹介した。
料金詐欺マルウェアは課金詐欺の一種で、悪意のあるモバイルアプリがユーザーの知らないうちにプレミアムコンテンツサービスを定期購読するというもの。料金詐欺は他のサブカテゴリーの詐欺(SMS詐欺や通話詐欺など)と比較し、独自の動作があることがMicrosoftの調査によって判明した。SMS詐欺や通話詐欺では電話番号にメッセージや通話を送信するシンプルな攻撃を一考するのに対し、料金詐欺マルウェアの開発者は、複雑かつマルチステップな攻撃になるよう改良を続けていると指摘されている。
例えば、ある料金詐欺マルウェアはデバイスがターゲットとするネットワーク事業者のいずれかに加入している時のみ、そのルーチンを実行するという。デフォルトで携帯電話によって接続し、Wi-Fi接続が可能な場合でもモバイルネットワークに接続するようデバイスに強制する機能が仕込まれていることもわかった。
ターゲットネットワークへの接続が確認されると、ユーザーの同意なしにこっそりと不正な加入を開始し、場合によってはワンタイムパスワード(OTP: One Time Password)さえも傍受して加入が行われる。ユーザーが不正な取引に気付きサービスから退会するのを防ぐため、加入に関連するSMSの通知も抑制するとしている。
Microsoftは料金詐欺マルウェアの脅威から身を守るため、Google Playストアまたはその他の信頼できるソースからのみアプリをインストールすること、アプリに過剰な権限を付与しないようにすること、デバイスベンダからシステム更新の提供がなくなった場合は新たなデバイスへの変更を強く検討することなどを推奨している。