2012年明けて早々から、Android向けマルウエアの話題が見られる。今年はさらに勢いを増しそうだ。
ロシアのカスペルスキーラボは、虚偽のウイルス感染警告を発してパソコンに偽アンチウイルスをインストールさせる攻撃手口をモバイルに流用した新たなマルウエアについてブログで注意を促した。
「Opera Mini」のように広く使われているモバイルアプリケーションをスマートフォンでGoogle検索すると、一部の検索結果はユーザーを以下のようなウイルススキャナーのWebページに誘導する。
誘導先のWebページの例
いずれのWebページでもデバイスが感染した可能性があり、誰かが個人情報にアクセスしたらしいと説明し、デバイスにマルウエアが侵入していないか確認するよう促す。ユーザーがボタンをクリックすると、Webページはデバイスをスキャンしている様子を見せ、ハードコード化された診断結果を表示する。
診断結果の表示
この診断結果は、SIMカード上には決して感染を検出せず、メッセージ、通話、アプリケーション、ブラウザー履歴、ストレージ、システムファイルに脅威またはマルウエアがあるか、リモートアクセスが可能な状態になっているとの診断を示す。これはまったくの偽診断だが、不安を覚えるユーザーは「セキュリティシステムを起動」というリンクをクリックしてしまう可能性がある。
リンクをクリックすると、Android搭載端末では「VirusScanner.apk」ファイルを、非Android端末では「VirusScanner.jar」ファイルをダウンロードし、インストールするよう求められる。これらファイルは実は不正なプログラムで、カスペルスキーラボはそれぞれ「Trojan-SMS.AndroidOS.Scavir」、「Trojan-SMS.J2ME.Agent.ij」として検出している。