マカフィー、日本のユーザーを狙った電話番号を盗むAndroid向けチャットアプリを発見したと発表

GAPSIS編集部 2013年11月23日

セキュリティソフト大手のマカフィーは22日、日本のユーザーを狙った危険なアプリをGoogle Play上で発見したと発表した。同社が今回発見したアプリは日本人ユーザー向けのチャットアプリで、2件ある。一つは「Machin Chat」という名のアプリで、もう一つは「Real -チャット掲示板-」という名のものだ。

該当のアプリのアイコン

これらのアプリではユーザーの承認を得ず、確認も行わず、ユーザーの端末の電話番号を取得し、ウェブサーバーへ送信している、ということだ。アプリのチャットサービスへ接続する際に、電話番号を暗号化して送信しているということだが、データを受け取ったサーバー側で暗号化されたデータを復号化し、電話番号データとして取得できていることは確実ということだ。

送信されている電話番号はアプリをインストールした端末自体（端末に挿入しているSIMカードのもの）のもので、電話帳に登録された友人等のものではないが、自分の電話番号が密かに取得・送信されていることになる。

マカフィーはこのような形で取得された電話番号データをアプリ開発者が実際に悪用しているかどうかまでは掴めないとしつつも、ユーザーの事前承諾なしに勝手に電話番号を収集すること自体が問題だとしている。

さらに、同社が試したところこのアプリではメイン機能であるチャットサービス自体を正常に利用することができなかったということだ。そうであれば、元々電話番号を取得することが目的のアプリだった可能性もある。

また、今回のアプリにおいては、従来多く見られたAndroid向けマルウェアと異なり、情報漏洩コードはサーバーサイドでホストされているHTML/Javascriptファイルで実装されていることも判明している。

なお、このアプリの開発者名はどちらも「YUMAKICHI DRIVE, INC.」で、この開発者のアプリ自体はまだGoogle Playに多数登録・配信されているため、それらも含めて注意すべきかもしれない。

今回発見された2つのアプリに関してはダウンロード数は数百程度に上るということだ。