ここから本文です

野生の偽“Pokemon GO”があらわれた! 非正規のapkファイルにマルウェアが混入

ITmedia Mobile 7月11日(月)13時42分配信

 マカフィー(インテルセキュリティ)の公式ブログによると、位置情報ゲーム「Pokemon GO」の二次配布された非正規apkファイルから、マルウェアが発見された。二次配布サイトでのapkファイルの入手は控え、公式マーケットでアプリが入手可能になるのを待つようにとしている。

【公式アプリとマルウェアのアクセス権限要求の違いは】

 見つかった「偽Pokemon GO」は、apkの二次配布サイト「apkmirror.com」で配布されているファイル名に酷似していたが、apkmirror.comではこのマルウェアは発見されなかった。そのため、恐らく別のサイトから配布されたものと同社のモバイルマルウェアリサーチチームは推測している。

 このマルウェアを最新のAndroidデバイスにインストールするときには、公式アプリと同様に特別なアクセス権限は要求されない。

 しかし公式アプリとは異なり、このマルウェアを起動するとSMSメッセージの送信や閲覧など、ゲームとは無関係のアクセス権限が要求される。

 この挙動は実行時に権限を要求するAndroid 6.0以降のデバイスでの動作で、Android 5.1など古いOSではインストール時にアクセス権限が要求される。ユーザーがアクセス権限を許可するとゲームは正常に動作するが、同時にバックグラウンドで「Controller」という悪質なサービスが起動する。

 このサービスは「DroidJack」(別名SandroRAT)という遠隔操作ツールによって正規のアプリに埋め込まれたものだという。DroidJackは感染したデバイス上で、SMSメッセージ・通話履歴・電話帳・ブラウザ閲覧履歴・位置情報やインストールアプリの一覧といったユーザー情報を盗み、写真撮影・ビデオ録画・通話録音やSMS送信など任意のコマンドをリモートで実行できるという。この偽Pokemon GOはトルコにあるサーバと通信し、アプリの起動情報を定期的に通知していた。

 また、デバイスのスリープ状態もサーバに通知されている。これによって例えば、ユーザーに気付かれないようにブラウザで特定のリンクを開くこともできるということだ。

最終更新:7月11日(月)13時42分

ITmedia Mobile