偽アンチウイルス – クローンの襲撃

偽アンチウイルスアプリが次々と見つかっています。中にはKaspersky Labの製品に似せたものも。

偽アンチウイルスアプリ

先ごろ、Google Playで「Virus Shield」という名前の偽アンチウイルスアプリが発見されました。このアプリを特徴づけるのは、ユーザーがお金を払う必要があった点です。というのも、偽アンチウイルスアプリというものは、アプリのダウンロード自体は無料でできるのが普通だからです。つまり今回のケースでは、偽アプリの作者は「マルウェア」の検知を装ってユーザーに料金の支払いを求める、というプロセスを踏まずに、すぐにお金を手に入れることができます。Google Playで悪い評価を受けないようにするには、アプリに有用な機能があると見せかけるだけでよかったのです。

Virus Shieldに続いて同様の偽アプリがいくつも登場しました。たとえば先々週、非常に興味深い偽アンチウイルスアプリが2種類確認されています。

1つめの偽アプリはWindows Phone Storeで発見されました。それ自体が珍しいことです(詐欺師はGoogle Playをよく利用します)。このアプリも先に料金を払うようになっており、「Kaspersky Mobile」という名前でした。このような名前のプログラムはKaspersky Labの製品ラインアップにありませんが、詐欺師はそんなことにはお構いなしです。誰も気付きはしないと考えたのでしょう。

fakeav_01 この偽アプリは、ファイルの「スキャン」をはじめとする便利な機能を実行できるとうたっています。しかし、スクリーンショットをよく見てみると、「スキャンの進行状況」と表示しながら「ヒューリスティック分析」を実行しているらしいのがわかります。通常、アンチウイルス製品のヒューリスティック分析で個別の進行状況を示すバーが表示されることはありません。

fakeav_02

しかし、この詐欺師たちは他のソフトウェアメーカーも少しは知っているようで、Kaspersky Lab以外の開発元の名前も詐称していました。Windows Phone Storeには、よく知られた製品の名前とロゴを使った有料の偽アプリが他にも数多くアップロードされていたのです。

fakeav_03

たとえば99ルーブル(約290円)のGoogle Chromeの偽物があり、Google Chrome Proというアプリもありました(なぜかこちらの方が安く、59ルーブル)。正体不明の開発元が提供する「アンチウイルス」アプリもいくつかありますが、詳しく調べてみたところ、それらのアプリとKaspersky Mobileの違いは、ロゴとインターフェイスの色だけでした。

しかし、何より興味深いのは69ルーブル(約200円)のVirus Shieldです。これは最初に紹介した(Google Playで見つかった)偽アンチウイルスと同じものでした。

fakeav_04

うまい詐欺の手口を1つ思いつけば、似たような手口をいくらでも生み出せる―この偽アプリが良い例です。詐欺師たちの偽アプリは1つにとどまらず、デザインをコピーしたものがいくつも出回っています。本物の機能まではコピーできていませんが。

当社が発見した偽アプリで、注目に値するものがもう1つあります。こちらはGoogle Playで「Kaspersky Anti-Virus 2014」という名前で販売されていました。念のため、Kaspersky Labのモバイル製品にこのような名前のアプリはありません。偽アプリのページで使われたスクリーンショットは、単純にKaspersky Internet Security for Android(カスペルスキー インターネット セキュリティ for Androidの英語版)の公式ページからコピーしたものでした。

fakeav_05

この偽アプリには、ユーザーのデバイスを保護する機能などありません。作者は偽のスキャナーを追加するのも面倒だったようです。買った人が手にするのは、セキュリティ製品ではなく単なる偽アプリ。機能といっても、Kaspersky Anti-Virusのロゴを背景に、Magic 8 Ballさながらに文章がランダムに表示されるだけです。このアプリはカスペルスキー製品によって「Trojan-FakeAV.AndroidOS.Wkas.a」として検知されます。

fakeav_06

こうした偽アプリが次々に登場する可能性は、非常に高いと言えるでしょう。1つ確かなのは、各社の公式アプリストアが採用している仕組みでは、こうした偽製品に対処できないということです。

追伸: カスペルスキー インターネット セキュリティ for Androidの偽物を買う人が少なかったのか、それとも偽アプリの作成者が欲を出したのかはわかりませんが、詐欺師たちは価格を吊り上げました。また、142ルーブルの「アンチウイルス」アプリ以外にも、同じ詐欺師のGoogle Playページで3,556ルーブル(約10,000円)のアプリが見つかりました。

fakeav_07

この高額アプリの名前は「i am rich」。スクリーンショットを見ると、同じ名前のiOSアプリに使われていたスクリーンショットを思い出します。iOSの方には、ルビーの写真と、「I am rich」(私はお金持ち)という文字を表示する機能しかありませんでした。アプリの希望価格100ドルを払ってまで調べることはしませんでしたが、同名のiOSアプリや、この詐欺師が販売するほかの偽アプリと、機能は大して変わらないことでしょう。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?