マカフィー株式会社は11日、スマートフォンゲーム「Pokémon GO」を模倣したマルウェア入りのアプリが発見されたと発表した。なお、Pokémon GOは、7月6日よりオーストラリアやニュージーランド、米国で公開されているが、日本では現時点で未公開となっている。

インテルセキュリティのモバイルマルウェアリサーチチームは、公開翌日に正規アプリにマルウェアを仕込んだ偽のPokémon GOのマルウェアを発見。ファイル名には、ファイル共有サイト“apkmirror.com”で二次配布されていた正規アプリと類似した名称が付けられていたという。

マルウェアを最新のAndroidデバイスにインストールする際、公式アプリと同様に特別なアクセス権限は要求されないが、起動時にSMSメッセージの送信・閲覧といったゲームとは関係のないアクセス権限が要求される。これは、ランタイムパーミッションをサポートするAndroid 6.0以降の端末の動作であり、それより古い端末ではインストール時にアクセス権限が要求される。

ユーザーはインストール時または実行時にすべてのアクセス権限を許可することでゲームを開始することができるが、このマルウェアでは、ネットワーク状態の変化やデバイス起動時に悪質なサービス“Controller”がバックグラウンドで動作するようになっている。

この悪質なサービスは、「DroidJack(別名：SandroRAT)」という遠隔操作ツールによって埋め込まれたものになる。SMSメッセージ、通話履歴、電話帳、ブラウザー閲覧履歴、位置情報やインストールアプリの一覧といったユーザー情報を盗むほか、写真撮影、ビデオ録画、通話録音やSMS送信といった任意のコマンドをリモートから実行する。

このマルウェアは、トルコにあるサーバーと通信が行われており、アプリ起動情報が定期的に通知されていたという。さらに、デバイスのスリープ状態に関する端末情報も外部サーバーに通知されていた。これらの情報は、ユーザーに気付かれないようにブラウザで特定のリンクを開くために使われるという。

マカフィーは、「公式マーケットであっても100％安全と言い切れないが、非公式なサイト（特にファイル共有サイト）と比較するとマルウェアへの感染リスクが非常に低くなる。仮に評判の良いサイトであっても、ユーザーの地域で公式アプリが利用できるようになるまで、しばらく待つように」と述べている。