Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Google Play」で人気アプリ装うソーシャルエンジニアリング - 開発者名を悪用

Google Playにおいて、人気Androidアプリに見せかけ、ダウンロードを促すソーシャルエンジニアリングの手口が明らかになったとしてセキュリティベンダーが注意を呼びかけた。

20180613_es_001.jpg
ダウンロード数のように見える「5,000,000,000+」は開発者名(画像:ESET)

Google Playでアプリのリストを表示した際、アプリ名と開発者名が表示されるが、開発者名をアプリのインストール回数を装う文言などにすることで、あたかも多数利用されているアプリを装う手口をESETが確認したもの。

同社が確認したところ、「Installs 1,000,000,000〜5,000,000,000」「100 Million Downloads」「5,000,000,000+」「1,000,000,000」といった開発者名を名乗るケースが見られた。

こうした手口のもと、多数アプリが公開されており、今回のアプリ自体に悪意ある機能は見つからなかったものの、広告収入などを狙い、誤認を誘ってアプリを拡散しようとしていたと見られる。

また同社は、開発名に「検証済み」「信頼できる開発者」といった文言や、確認済みであることを連想させるチェックマークを挿入するケースもあると指摘。今後悪意あるアプリの配布にこうした手法が利用されるおそれもあるとして、注意を呼びかけている。

(Security NEXT - 2018/06/13 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Android向けショッピングアプリ「ヨドバシ」に脆弱性
複数の人気スマホ、地域による脆弱性格差が存在
「タチコマ」コラボのAndroid向けセキュリティアプリ - NICTが実証実験
家庭向けIoT機器の脆弱性診断アプリを公開 - トレンド
「三井住友カード」の利用者狙うフィッシング - リンク6カ所で誘導
複数金融機関が採用するネットバンクアプリに脆弱性
「WhatsApp」だけではない、Android向けGIF処理ライブラリの脆弱性に注意
Android版「Outlook」に定例外セキュリティ更新
不正決済機能を備えた「カメラアプリ」がGoogle Playに
カードゲーム「セキュ狼」がスマホアプリに - JNSAと学生が共同開発