Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

個人情報を窃取するスマホアプリ、アフィリエイトを悪用 - 約8000件がダウンロード

占いアプリに見せかけ、端末内のアドレス帳など個人情報を外部へ送信する不正なAndroidアプリが出回った問題で、アプリの拡散に正規のアフィリエイトサービスが悪用されていたことがわかった。

問題のアプリは、「占いアプリ☆オーラの湖」。占いアプリに見せかけ、スマートフォンのアドレス帳データを取得。利用者にわからないよう外部へ送信する。

アプリ紹介サイトやブログ、ポイントサイトなどを通じて紹介され、ユーザーの目に触れる機会が多かったことから、情報処理推進機構(IPA)が5月23日に注意喚起を行っている。

多くのサイトで紹介された背景には、同アプリの開発者が、ダウンロード回数に比例して紹介者へ報酬を支払う「アフィリエイトサービス」を悪用していたことが挙げられる。

ファンコミュニケーションズの広報によれば、4月中旬から5月21日にかけて「Moba8.net」を通じてアフィリエイトプログラムを提供。すでに不正アプリであることを把握して配信を中止しているが、期間中同社と契約するポイントサイトなどを中心に、約8000件がダウンロードされた。

同社では、アプリのアフィリエイトプログラムを提供する場合、安全性のために審査を実施しており、基準を満たさないアプリに対してサービスを提供していないが、今回のアプリについては、内部の挙動まで確認できていなかった。

またサービスの申し込みが行われた当初、紹介するダウンロード先のリンクが公式サイトである「Google Play」だったことから安全性に問題ないと同社では判断。しかしアプリ提供者が、期間中にリンク先を外部サイトへ変更しており、審査をすり抜けていたという。

同社は、「掲載サイトやユーザーなど関係者に迷惑をかけて申し訳ない」とコメント。今回の件を受けて警察へ相談しているほか、プログラムへ参加した掲載メディアなど関係者に対して謝罪し、ダウンロードした利用者へのアナウンスを進めている。

さらに再発防止を目指し、アプリに対する一斉チェックを実施したほか、審査体制の強化などに取り組むと説明している。

(Security NEXT - 2012/05/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

先週注目された記事(2025年2月2日〜2025年2月8日)
Linuxカーネルの脆弱性に対する攻撃が発生 - 米当局が注意喚起
「Android」に複数脆弱性を修正するアップデート - 一部で悪用の兆候
「サポート詐欺」で1000万円超の被害 - ネットバンクへ誘導
Androidアプリ開発者向けセキュリティガイドに改訂版 - JSSEC
4Qの「JVN iPedia」登録は6894件 - 「NVD」公開遅延で減少
Mozilla、最新版ブラウザ「Firefox 134」を公開 - 複数の脆弱性を修正
11月は脆弱性22件の悪用に注意を喚起 - 米当局
米当局、AppleやOracleの脆弱性悪用に注意喚起
「くら寿司 公式アプリ」Android版に脆弱性 - 暗号鍵をハードコード