今年に入ってから、日本語のワンクリック詐欺アプリが次々と Google Play で公開されており、マーケットはその削除に追われ続けています。詐欺アプリの多くは公開されたその日のうちに削除されていますが、一部は数日間残ります。ごく短命ではありますが、新しいアプリの開発が終息する気配がまったくないところを見ると、詐欺師にとっては十分な利益を上げていることは間違いありません。Google Play の検索機能を悪用する手口のおかげで、詐欺アプリは簡単にキーワード検索の上位に躍り出ています。シマンテックで試しに検索を実行したところ、ヒットした上位 24 個中の 21 個が悪質なアプリでした。
図 1. 検索結果 24 件のうち正常なアプリは 3 つだけ
詐欺師の執拗さもあいかわらずで、ほぼ毎日のようにアプリが公開されており、過去 7 カ月間に公開されたアプリの数は 1,200 個を超えています。
図 2. 7 カ月間の活動状況
これまでの詐欺が成功を収めたことを受け、「濡れ手で粟」を狙った新しい参入者も現れたようです。新しい詐欺は、日本で定番となったワンクリック詐欺の亜種ですが、クリックを要求するだけではありません。サービスのメンバーに登録するために電子メールを送信し、指定された番号に電話を掛けてパスワードを入手したうえで、そのパスワードを入力して偽サイトにログインすることも要求してきます。詐欺の手口としては、ずいぶん手間が掛かっています。サイトへのログインに成功すると、ユーザーはオンラインでアダルト動画を観るための年会費として 315,000 円を請求されます。ただし、料金について明確な事前警告はありません。
図 3.これまでに悪質なアプリを公開してきた 3 つの開発者
アプリは Google Play からダウンロードされます。
図 4.アプリのダウンロードページ
アプリを実行すると、ブラウザが起動してアダルト動画サイトが開きます。
図 5.アダルト動画サイト
アダルトサイトで動画を再生しようとすると、サイトの動画をすべて観るにはメンバーに登録する必要があると説明されます。
図 6.メンバー登録を求めるページ
[メール送信]ボタンをタップすると、自動的に電子メールの下書きが作成されるので、後は[送信]ボタンをタップするだけです。
図 7.自動作成される電子メールの下書き
メールを送信するとすぐに、リンクが掲載された返信メールが届きます。
図 8. リンクを含む電子メール
リンクをタップすると、異なるサイトの別のサービスにリダイレクトされます。
図 9.別のアダルト動画サイト
動画を選択すると、今度はログインするためのパスワードを入力するよう求められます。
図 10.パスワード入力を求めるページ
[パスワード確認]をタップすると、所定の番号に電話を掛けられる状態になります。
図 11. 所定の番号に電話を掛けられる状態になる
この番号に電話を掛けると、自動返信メッセージでパスワードが届きます。このパスワードを使ってサイトにログインすると、ブラウザでページが開き、ユーザーの登録情報が示されたうえで、315,000 円という法外な年会費を 3 日以内に支払うよう通知されます。
図 12.登録情報と年会費の請求
このサービスに年会費が必要だという情報はどこにもなかったはずですが、よく見ると、パスワード入力ページに利用規約への隠しリンクがあります。リンクが設定されている文章には、このサイトが成人用であり、利用規約に合意する必要があると書かれていますが、同じページの他の文章に比べると文字が非常に薄くなっています。
図 13.ほとんど見えない利用規約へのリンク(赤い線で囲んだ部分)。
利用規約には確かに、このサービスでは年会費が必要であると書かれています。もっとも、最終的にこれを見つけられればの話です。ここでは、実に巧妙な手口がいくつも使われています。
図 14.利用規約
これらのアプリは、ブラウザを起動して特定のサイトを開き、そこから何ステップかを経て最終的なページへとユーザーを誘導するだけなので、アプリが悪質であると断定することは、どのようなシステムでもほとんど不可能です。この詐欺がわざわざ手動の手順を要求しているのは、アプリをできるだけ長くマーケットに滞留させようとする新しい戦略です。この手のアプリを発見するには、人手による解析に頼るほかありません。シマンテックが確認したところでは、こうした悪質なアプリが 7 月初め以降 100 個以上も Google Play で公開されています。この記事の執筆時点で、前述の 3 つの開発者によって公開されたアプリがまだ 30 個もマーケットで入手できる状態になっています。シマンテックは、このようなアプリが発見され次第削除できるように、Google 社への情報提供を続けていきます。これらのアプリをダウンロードしたユーザー数は数百人ですが、実数は 1,000 人を超える可能性もあり、いったい何人が騙されて料金を支払ってしまったのか実態は不明です。シマンテック製品では、今回のブログでお伝えしたアプリを Android.Oneclickfraudとして検出します。アプリをダウンロードするときは、公開されている場所にかかわらず予防対策を講じてください。ノートン モバイルセキュリティを使って保護することもお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。