Google Play
Mika Baumeister on Unsplash

Google Playで580万回もダウンロードされていた人気アプリがFacebookのパスワードを盗んでいたとして、ストアから削除されたと報じられています。

セキュリティソフト企業Dr.Web社の報告によると、9つのAndroidアプリにFacebookのログイン認証情報を盗む不正な方法が使われていたとのことです。記事執筆時点では、9本ともGoogle Playから削除済みです。

これらのアプリはユーザーを信頼させて警戒心を解くために、写真の編集やフレーミング、エクササイズやトレーニング、星占いやジャンクファイルの削除など完全な機能を備えたサービスを提供していたそうです。いわゆる“トロイの木馬”のようなマルウェアといえます。

今回確認されたマルウェアはすべて、Facebookアカウントにログインしてアプリ内広告を無効にするオプションを提供していたと述べられています。そのオプションを選ぶとユーザー名とパスワードを入力するフィールドを含む、本物のFacebookログインフォームが表示されていたとのこと。つまり、一度はFacebookの正規フォームが表示されていたわけです。

これらマルウェアが被害者を騙す手口は、まず起動時にC&Cサーバー(マルウェアに感染してボット化したコンピューターに指示したり制御するサーバー)の1つから必要な設定を受け取った後、Facebookの正規ページをWebViewに読み込む。次にC&Cサーバから受け取ったJavaScriptを同じWebViewにロードし、これを入力されたログイン認証情報を乗っ取るために使うというぐあいです。

しかも攻撃者はトロイの木馬の設定を簡単に変更でき、Facebook以外の正規サービス用Webページを読み込むように命令も可能なほか、フィッシングサイトに設置された完全に偽のログインフォームも使用できたとのこと。要は、あらゆるサービスのログイン情報やパスワードを盗むために利用できたと説明されています。

ダウンロードされたマルウェアのうち大半を占めたのは「PIP Photo」というアプリで、580万回以上もアクセスされたとのこと。次に多かったのは「Processing Photo」で50万回以上のダウンロードがあり、残りのアプリは以下の通りです。

  • Rubbish Cleaner:10万回以上のダウンロード

  • Inwell Fitness:10万回以上のダウンロード

  • Horoscope Daily:10万回以上のダウンロード

  • App Lock Keep:5万回以上のダウンロード

  • Lockit Master:5000回以上のダウンロード

  • Horoscope Pi: 1000回ダウンロード

  • App Lock Manager:10回ダウンロード

Google広報担当者はテックメディアArs Technicaに対して、「9つのアプリの開発者をストアから追放した」と回答しています。もっともArs側は、「開発者は一回きり25ドルの料金を支払うことで、別の名前で新しい開発者アカウントを登録できるため、最小限のハードルにしかなってない」と指摘しています。

上記アプリの内どれかをダウンロードしてしまった方は、Facebookアカウントが悪用された形跡がないか徹底的に調べるほか、ウィルス対策アプリで他に悪質なアプリが入り込んでいないかをチェックした方がよさそうです。

Source:Dr.Web

via:Ars Technica