マカフィーは2014年3月28日、GmailやTwitter、Facebookなどのアカウント情報を収集する不審なAndroidアプリを確認したとして注意を呼びかけた。アダルト動画の閲覧アプリなどに見せかけることが特徴(画面1)。
同社では最近、Android端末に登録されたユーザー情報をひそかに収集する不審なアプリを、公式サイトの「Google Play」で確認したという。このアプリは、GmailのメールアドレスやFacebookのログイン用メールアドレス、TwitterのアカウントIDなどを収集する。3月28日の時点で、1000件から5000件程度ダウンロードされている。
このアプリは、動画共有サイト「YouTube」で公開されている“セクシー動画(アダルト動画)”へのリンクを提供する動画閲覧アプリとして実装されている。
アプリを実行すると、“宣伝文句”通りに動画が表示されるが、その裏で、端末に登録されているアカウント情報や端末に関する情報が、アプリ開発者のサーバーに勝手に送信される(画面2)。なお、送信されるのはメールアドレスやユーザーIDなどで、パスワードが送信されることはないという。
今回のアプリがアカウント情報を勝手に送信できるのは、アプリのインストール時に「端末上のアカウントを検索」(GET_ACCOUNTS)権限をユーザーが許可してしまうため(画面3)。この権限を許可すると、パスワードを除くアカウント情報などを勝手に取得される恐れがある。このため、この権限が要求されたら、開発元を信頼できるかどうか確認するよう呼びかけている。
マカフィーでは2014年1月にも、アダルト画像を表示するアプリに見せかけた悪質なアプリを確認したとして注意喚起している(関連記事:「セクシー画像」に気をつけろ!)。
