今回は、セキュリティベンダーが注意を促している不正アプリケーションなどについてのブログを取り上げる。まず最初は、米マカフィーのブログ。同社は、Android向けアプリケーションの公式ストア「Google Play」で確認した2種類の不正アプリケーション「DroidCleaner」「SuperClean」について注意を呼びかけた。いずれも「Smart.Apps」という開発者から配信されている。

DroidCleaner

SuperClean

 両アプリケーションとも、Android端末の反応性と速度を高めるためにブラウザーのキャッシュを消去し、ネットワーク設定を最適化して、使っていないログファイルを削除するなどと謳っている。

 どちらも、アプリケーションを起動すると、偽のユーザーインタフェースを表示する。

偽のユーザーインタフェース


 DroidCleanerの方が手の込んだグラフィカルなユーザーインタフェースが用いられている。3つのクリーニングオプションが提示されるが、どれを選んでも同じ偽の進捗バーが表示される。

DroidCleanerの進捗バー


 その間、アプリケーションはバックグラウンドで、ユーザーの承認を得ないまま、マルウエア制御(C&C)サーバーとの通信を確立する。他のAndroidマルウエアにもよくあるコマンドを実行する。

・端末識別番号(IMEI)、加入者識別番号(IMSI)、電話番号など、端末やネットワーク情報をリモートのサーバーに送る
・高額サービスへの登録に使用することが考えられるSMSメッセージを送ったり削除したりする
・端末にインストールされているアプリケーション、画像、連絡先情報、SMSメッセージ、GPS情報などの重要な個人情報を送信する
・SDカードのファイルやディレクトリーといった内容をマッピングし、あとでリモートサーバーに送る

 ほかに、次のような機能も備えている。

・シェルコマンドをリモートで実行する
・rebootコマンドを使って端末を再起動させる
・端末にインストールされている別のアプリケーションを勝手に起動する
・着信を転送するよう設定し、消音モードにしてユーザーが転送に気づかないようにする

 マカフィーが最も興味深いコマンドの1つだとしているのは「UsbAutorunAttack」で、3つのファイル「autorun.inf」「folder.ico」「svchost.exe」をリモートサーバーからダウンロードする。ファイルはSDカード内に保存され、AutoRun機能が有効になっているWindowsシステムに感染する。なお、最新のWindowsはデフォルトでAutoRun機能が無効になっているので、影響を受ける可能性は低い。

 この脅威はフィッシング攻撃も実行し、「creds_attack」「creds_dropbox」コマンドがC&Cサーバーから送られてくると、以下のユーザーインターフェースを表示して重要なAndroidユーザー情報やオンラインストレージ「Dropbox」のアカウント情報を盗もうとする。

ユーザー情報を盗むために表示されるユーザーインターフェース


 ユーザーが情報を入力して「ログイン」をタップすると、盗まれた情報はリモートサーバーに送られる。このとき画面には「入力内容が間違っています」とのダイアログが表示される。