[セキュリティブログ] 有名なゲームを装って個人情報を漏えい
そのマルアプリは [図 1] のようにサードパーティマーケットから拡散し、有名ゲームである 「GTA」 ブランドを利用してインストールを誘導します。

[図 1] マルアプリがアップロードされたサードパーティマーケット
アプリをダウンロードすると [図 2] のように GTA アイコンを使うマルアプリがインストール。実行するとゲームをロードするように見えますが、ロード完了時にロシア語でFlash Player がインストールされていないというメッセージを表示、追加のアプリをダウンロードインストールするように誘導します。このマルアプリはインストール時に要求する権限情報の表示がありません。

[図 2] GTA を装ったマルアプリのアイコン

[図3-1] マルアプリの実行画面

[図3-2] マルアプリの実行画面
[図3-2] 画像の 「3arpy3иTb Flash Player」 のボタンをクリックすると下記のようにFlash Player のダウンロードサイトへの誘導を装い、 「http://u****eris.*u/」 からユーザー情報を漏えいする機能のマルアプリをダウンロードします。



[図 4] 追加でインストールされた Flash Player を装ったマルアプリ
追加でダウンロードされたFlash Player を装ったマルアプリは、別途の UI なしにスマートフォンからバックグラウンドで動作し、下記のような機能を実行します。
- サービス国家情報漏えい
- サービス提供者 (operator) 情報漏えい
- デバイスの識別番号 (device ID)
- 保存されたテキストメッセージの漏えい
- テキストメッセージの無断送信
- アドレス帳内の連絡先情報漏えい
- 追加のマルアプリダウンロード等

[図 5] テキストメッセージの無断送信コード

[図 6] 個人情報漏えいコード
収集された個人情報は米国にあるサーバー ( http://w***y.*u/co***s.php ) へ送信されることになります。
<V3 mobile シリーズの診断名>
Android-Trojan/FakeInst.6047(2012.09.12.01)
Android-Trojan/FakeInst.6048(2012.09.12.01)