セキュリティ企業のカスペルスキー研究所は本日、アップルのApp StoreとAndroid版Google Playストアの両方で入手可能な、ユーザーのアドレス帳の連絡先を収集し、それを開発者のサーバーに送信してテキストスパムに使用するアプリについて警告を受けたと発表しました。
マックルーマーズ:
開発者のシステムは、アプリケーションを宣伝するテキスト メッセージをそれらの連絡先に送信していましたが、「送信元」フィールドは元のユーザーの携帯電話番号に偽装されていました。
「Find and Call」というアプリは世界中のApp Storeで配信されていましたが、アプリの説明にロシア語が使用されていたため、主にロシアのユーザーをターゲットにしていました。アプリから個人情報が不適切に送信された事例は今回が初めてではありませんが、このような形で情報が利用されたのは初めてのようです。
Macworldより:「インストール後、アプリは電話番号とメールアドレスの登録を求めます。Find and Callは、連絡先リスト全体をリモートサーバーに秘密裏にアップロードする前に、「電話帳で友達を探す」かどうかも尋ねます。アプリは連絡先のアップロードを続け、アップロードした相手にはアプリをダウンロードするためのリンクを含むSMSメッセージを送信します。これらのSMSメッセージは、あなたの電話番号から送信されたように見えるため、受信者がリンクをクリックする可能性が高くなります。」
カスペルスキーは、スパム招待がメールでも送信されていると指摘しています。アプリの開発者と連絡を取ることができたユーザーによると、開発者はこの動作はバグだと主張していますが、その説明には疑問が残ります。
App Storeで検索してもこのアプリが見つからないことから、AppleはApp Storeからこのアプリを削除したようです。このアプリは6月13日からApp Storeで配信されていました。
Google Playストアにおけるマルウェア自体は目新しいものではありませんが、このようなアプリがiOS App Storeに紛れ込んでいるのは確かに恐ろしいことです。このようなアプリがどのようにして世に出たのか、そしてどれほど多くの類似アプリが見過ごされてきたのか、考えさせられます。
安全なコンピューター利用を心がけてください。アプリが怪しい場合はダウンロードしないでください。
更新: The Loopより:「Find & Callアプリは、ユーザーのアドレス帳データを不正に使用しており、App Storeのガイドラインに違反しているため、App Storeから削除されました」とAppleの担当者はThe Loopに語った。
