悪質なAndroidアドウェア、世界20カ国で流通

人気アプリを無断で改ざんする「リパッケージ」の手口を使って流通し、同一作者のものと見られるアプリがGoogle Playでも配信されていた。

[鈴木聖子，ITmedia]

　Androidに迷惑な広告を表示する悪質なアドウェアが世界各国で流通し、同じ作者のものと見られるアプリが「Google Play」でも配信されていたことが分かった。セキュリティ企業のFireEyeが10月7日のブログで伝えた。

　FireEyeによると、問題のアドウェア「Kemoge」は正規の人気アプリを無断で改ざんする「リパッケージ」の手口を使って増殖している。被害は20カ国以上で確認され、政府機関や大企業にも影響が及んでいるという。

悪質なアドウェアの被害国（FireEyeより）

　攻撃者はサードパーティーのアプリストアにKemogeをアップロードして、Webサイトやアプリ内広告を通じてダウンロードさせる手口を利用。ユーザーが起動すると端末の情報が収集されて外部のサーバに転送され、画面には執拗に広告が表示されるようになる。

　さらにGoogle Playでも、Kemogeと同じ証明書を使って署名された「ShareIt」というアプリが配信されていたことが分かった。名称などから判断すると、両アプリとも中国のデベロッパーが開発しているとFireEyeは推測する。

感染させる流れ（同）

　ShareItはkemogeと同じ制御用サーバにアクセスしており、迷惑な広告を配信するなどKemogeと共通する特徴が報告されている。ただ、Kemogeのようなroot悪用機能などは取り除かれているという。GoogleはGoogle PlayからShareItを削除する措置を取ったと伝えられている。

　こうした不正アプリの被害を防ぐために、FireEyeではユーザーに対し、（1）メールやSMS、Webサイト、広告などの不審なリンクはクリックしない、（2）公式アプリストア以外ではアプリをインストールしない、（3）Androidを常に最新の状態に保つ――などの対策を呼び掛けている。さらに、FireEyeの「MTP」などのセキュリティソリューションを導入するよう促した。