McAfee(マカフィー)は、日本のユーザーを狙って電話番号を密かに盗む、Android 用チャット アプリケーションが Google Play で公開されていると警告した。問題のアプリケーションは、「Machin Chat」と「Real -チャット掲示板-」。同社のセキュリティ ツール「McAfee Mobile Security」は、これらを「Android/ChatLeaker.A」として検出する。

日本ユーザー狙いの電話番号を盗む Android チャット アプリ、McAfee が警告
McAfee が警告している不審なアプリケーション

これらチャット アプリケーションは、ユーザーが使用している端末の電話番号を取得し、事前通知および承諾確認を行わず外部 Web サーバーへ送信する。電話番号は送信前に暗号化されているが、暗号化用の共通秘密鍵はアプリケーション開発者が知っているため、受信した Web サーバー側で復号できるはずだ。Google Play の説明ページでは「登録不要」と「無料」であることを強調しており、McAfee は「この開発者は意図的にユーザーを騙しているか、少なくとも誤解を招く説明をしていると考えられます」と述べる。

「登録不要」「無料」を強調
「登録不要」「無料」を強調

同アプリケーションが提供すると称しているチャット機能は、McAfee の担当者が試したものの一度も接続できなかったという。また、使用されている JavaScript コードを解析したところ、このチャットサービスは電話番号を取得しなくても機能するはずで、それにもかかわらず電話番号を密かに取得することから「何らかの悪意を感じます」とした。

なお、電話番号を盗むためのコードは、個人情報を盗む多くの Android マルウェアと異なり、サーバー サイドでホストされている HTML/JavaScript ファイルで実装されていた。