「Google Play」上に個人情報抜き取るチャットアプリ - セキュリティ対策アプリの検出逃れる工夫も

マカフィーは、電話番号を窃取するために作成されたと見られるチャットアプリ2種を「Google Play」上で確認した。セキュリティ対策アプリの検出を逃れるためか、個人情報を抜き出すコードは、サーバ側に用意されていた。

問題のアプリは、Android向けに公開されていた「Machin Chat」「Real チャット掲示板」。いずれもすでにGoogle Play上からは削除されている。同社では「Android/ChatLeaker.A」として検出するよう対処した。

いずれのアプリも、日本人向けに作成されたと見られ、無料で利用できるチャットアプリなどと説明。登録不要などと書かれていたが、端末の電話番号を窃取する機能を備えていた。同社でアプリを試したところ、本来の機能であるチャット機能も利用できなかったという。

また従来の個人情報を盗むことを目的とした不正アプリと構造が異なり、今回見つかったアプリでは情報を盗み出す機能を「APKファイル」内に実装するのではなく、「WebView」の脆弱性を利用していた。外部のサーバへアクセスした際に、サーバ側のJavaScriptにより抜き出すという。

こうした実装方法では、セキュリティ対策アプリによる静的解析によって不正なコードを発見しにくいとマカフィーでは危険性を指摘。さらに、不正アプリの開発者以外が用意した不正サイトへアクセスした場合も、個人情報を抜き出されるおそれがある。

今回見つかったアプリのダウンロード数は、数百回以下と回数は少ないものの、同社は同様の手法を利用したアプリが今後増加するおそれがあると指摘している。

（Security NEXT - 2013/11/25 ）ツイート