Google Play上にワンクリック詐欺アプリが6日間で120以上も新規登録 - 複数の開発者アカウントを利用

マカフィーは、Google Play上で「ワンクリック詐欺アプリ」が大量に確認されているとして、注意を呼びかけている。

同社では、ワンクリック詐欺アプリの亜種がGoogle Play上で多数出回っているとして4月4日に注意喚起を行ったが、その後6日間であらたに120件以上の詐欺アプリを発見したという。

同社によれば、詐欺アプリの開発者は、3件から5件の開発者アカウントを使用しており、アカウントごとに5、6件の詐欺アプリを毎晩アップロードしているという。

これらアプリの多くは詐欺サイトへユーザーを誘導するものだが、同社では今回、端末に登録されているGoogleアカウント名や電話番号を外部へ送信する機能を持つ亜種を確認した。

同亜種は、アダルト画像を用いたパズルゲームだが、本来必要ない「携帯のステータスとIDの読み取り」「既知のアカウントの取得」のパーミッションを要求。アプリを起動するとゲームを実行できるが、その背後でユーザー情報を外部サーバに送信する。

また同アプリではゲーム画面の下部に表示される広告は、一見第三者の広告に見えるが、実際はアプリ自身に含まれる画像を表示しており、詐欺ページに誘導。詐欺ページのURLは、一連のワンクリック詐欺アプリで使用されているものと同じだった。

同アプリはGoogle Playの登録後1日で削除されたため、実際の被害はほとんどなかったと同社では分析しているが、単に詐欺サイトへ誘導するだけでなく、ユーザー情報を収集するアプリも存在しているとして注意を呼びかけている。

（Security NEXT - 2013/04/11 ）ツイート