「○○ the Movie」という名のAndroidアプリに注意、裏で個人情報ぶっこ抜き

 Google Playで公開されていた「○○ the Movie」「○○動画まとめ」などの名称のAndroidアプリ16種が、スマートフォン利用者の個人情報などを外部に送信していたことがわかった。すでにこれらのアプリはGoogle Playから削除されているが、少なくとも合計6万6000件以上がすでにダウンロードされた可能性があるとみられる。

 問題のアプリは、「○○」の部分に「うまい棒をつくろう!」「チャリ走」「桃太郎電鉄」「けいおん」などの人気アプリ/コンテンツの名称が冠されていた。それらを入手して調査したネットエージェント株式会社によると、各アプリではそれぞれの名称に応じたそれらしい動画がストリーミング再生されるため、見かけ上は人気アプリの使い方を説明したり、人気コンテンツをまとめて紹介する動画アプリといった体裁だという。

 しかしインストール時には、動画を再生するだけのアプリには不要と思われるパーミッションを要求。このうちネットエージェントが挙動を確認したあるアプリでは、スマートフォンに登録されている利用者の名前と電話番号、Android ID、電話帳に登録されている人の名前、電話番号、メールアドレスを取得し、外部サイトに送信していることがわかった。

 実際に挙動までは確認していないアプリも含め、16種のソースコードはすべて同じだったとしており、端末に保存されている個人情報などを抜き取ることを目的に、人気アプリ/コンテンツに便乗する動画アプリを装い、3月半ばごろから複数ばらまかれていたとみられる。

 最近になって"怪しいアプリ"が出回っているとしてインターネット上で話題になったことを受け、ネットエージェントでは16種を入手して解析するに至った。

 同社によると、アプリはすべて13日午前2~3時ごろにはGoogle Playから削除されたという。しかし、削除される前にGoogle Playの各アプリのページに表示されていたインストール数から推計すると、すでに6万6000件から最大で27万件がダウンロードされたとみられる。数字に大きな幅があるのは、Google Playで表示しているインストール数じたいに幅があるためで、それらを16アプリ分、単純に合計した。

 なお、情報の送信先となっていたサイトはJPドメインだったが、13日午後4時30分ごろまでに停止されたのを確認しているという。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120413_526362.html