野生の偽“Pokemon GO”があらわれた！ 非正規のapkファイルにマルウェアが混入

[ITmedia]

　マカフィー（インテルセキュリティ）の公式ブログによると、位置情報ゲーム「Pokemon GO」の二次配布された非正規apkファイルから、マルウェアが発見された。二次配布サイトでのapkファイルの入手は控え、公式マーケットでアプリが入手可能になるのを待つようにとしている。

　見つかった「偽Pokemon GO」は、apkの二次配布サイト「apkmirror.com」で配布されているファイル名に酷似していたが、apkmirror.comではこのマルウェアは発見されなかった。そのため、恐らく別のサイトから配布されたものと同社のモバイルマルウェアリサーチチームは推測している。

　このマルウェアを最新のAndroidデバイスにインストールするときには、公式アプリと同様に特別なアクセス権限は要求されない。

Android 6.0のインストール画面では、公式アプリと区別がつかない

　しかし公式アプリとは異なり、このマルウェアを起動するとSMSメッセージの送信や閲覧など、ゲームとは無関係のアクセス権限が要求される。

公式アプリのアクセス権限要求（左）と、マルウェアのアクセス権限要求（右）

　この挙動は実行時に権限を要求するAndroid 6.0以降のデバイスでの動作で、Android 5.1など古いOSではインストール時にアクセス権限が要求される。ユーザーがアクセス権限を許可するとゲームは正常に動作するが、同時にバックグラウンドで「Controller」という悪質なサービスが起動する。

ユーザー情報を盗み、任意のコマンドをリモートで実行するサービス「Controller」が起動する

　このサービスは「DroidJack」（別名SandroRAT）という遠隔操作ツールによって正規のアプリに埋め込まれたものだという。DroidJackは感染したデバイス上で、SMSメッセージ・通話履歴・電話帳・ブラウザ閲覧履歴・位置情報やインストールアプリの一覧といったユーザー情報を盗み、写真撮影・ビデオ録画・通話録音やSMS送信など任意のコマンドをリモートで実行できるという。この偽Pokemon GOはトルコにあるサーバと通信し、アプリの起動情報を定期的に通知していた。

　また、デバイスのスリープ状態もサーバに通知されている。これによって例えば、ユーザーに気付かれないようにブラウザで特定のリンクを開くこともできるということだ。