トレンドマイクロは公式 Blog で、日本国内の Android 搭載端末ユーザーを標的にした、個人情報を盗む不正アプリ「ANDROIDOS_EXPRESPAM.A」による継続した攻撃を確認したことを発表している。

この不正アプリに感染すると、端末上に保存された連絡先情報が外部サーバーに不正に送信される。

今月初めの同社の Blog では、正規のアプリマーケット「Google Play」を偽装したマーケットからの不正アプリの配布を確認しているが、トレンドマイクロが継続して監視した結果、マーケットを転々としているかのように、配布に使うマーケット名とドメイン、URL を変えながら攻撃を継続しているという。

マーケットを転々とする Android 向け不正アプリ
一見同じだが、マーケット名の異なる不正アプリ配布サイト

偽「Google Play」用ドメインが 2012年12月27日、「Android Express の Play」用ドメインが 2013年1月7日、無名マーケット用ドメインが 2013年1月16日に作成されていることが分かっており、不正活動を発見されるたびに、新たなドメインを作成、登録して、活動を継続させているようだ。

また、不正アプリ配布でも、アプリ名の異なる複数のアプリが公開されているかのように見えるが、実際にはまったく同じ不正アプリに誘導するのが特徴。これも、今月初めに確認された攻撃手法とまったく同じだという。

これらの偽マーケットに誘導する手段として、便利なアプリの提供を謳ったスパムメールを使っていることも確認されている。

誘導に使われるスパムメール
誘導に使われるスパムメール