WhatsApp から 100万件の認証情報を窃取:Meta が中国企業を提訴

Meta sues app dev for stealing over 1 million WhatsApp accounts

2022/10/06 BleepingComputer — 2022年5月から非公式な WhatsApp Android アプリを開発/使用して、100万以上の WhatsApp アカウントを盗用したとして、HeyMods/Highlight Mobi/HeyWhatsApp などの複数の中国企業を、Meta が提訴した。Meta の訴状によると、これらの悪質なアプリは、上記3社のサイトに加えて、Google Play Store/APK Pure/APKSFree/iDescargar/Malavida などからダウンロードが可能だったとのことだ。

インストールされたアプリ (WhatsPlus 2021 GB Yo FM HeyMods/Theme Store for Zapなど) は、バンドルされたマルウェアを介してアカウント認証などの機密情報を採取し、WhatsAppアカウントを乗っ取り、スパム・メッセージを送信していた。


Meta の訴状には、「被害者は悪意のアプリをインストールした後に、WhatsApp のユーザー情報の入力と、悪意のアプリ上での WhatsApp アクセス認証を促された。その一方で加害者は、悪意のアプリをプログラムし、ユーザーの認証情報を WhatsApp のコンピュータに伝達し、ユーザーのアクセス情報を不正に取得した」と記されている。

Google Play Store のエントリーを調べると、AppUpdater for WhatsPlus だけで、100万人以上の Android ユーザーにインストールされていた。

Gambling spam pushed using compromised WhatsApp accounts
Gambling spam pushed using compromised WhatsApp accounts (BleepingComputer)

Meta における WhatsApp の責任者である Will Cathcart は、7月の時点でユーザーに対して、WhatsApp の改変バージョンをダウンロードしないよう警告し、その事例として HeyMods のアプリである HeyWhatsApp を挙げていた。

Cathcart は、「最近、わたしたちのセキュリティ・チームは、HeyMods と呼ばれる開発者にるアプリ (Google Play 以外で提供) の中に隠されたマルウェアを発見した。このアプリは、新機能を提供するとしていたが、被害者のデバイスに保存されている個人情報を、盗み出す詐欺に過ぎなかった。私たちは、発見したことを Google と共有し、悪質なアプリに対抗するために Google と協力した」と述べている。

MetaがGoogle に警告した7月の中旬に、Android の Google Play Protect がアップデートされ、すでにユーザーの Android デバイスにダウンロードされている、悪質な偽バージョンの WhatsApp を検出して無効化するようになった。

Cathcart は、「また、HeyMods に対して、今後の被害を食い止めるための強制措置を取っており、HeyMods などの脅威アクターに対して、責任を追及するための法的選択肢を検討する」と付け加えた。

Meta は、WhatsApp アカウントを乗っ取る悪意のアプリが、アカウント情報を盗み出した方法に注目しており、WhatsApp の利用規約と Meta の開発者契約に違反したとして、それらの3社を提訴している。

Meta が言うように、被告は各種 WhatsApp アカウントを作成した際に、WhatsApp 規約に同意し、それに拘束されていた。また、Facebook ページ/アプリを作成した後には、Meta 規約/プラットフォーム規約/開発者ポリシーなどに同意し、それらに拘束されていた。

しかし、上記のような行為により、彼らは WhatsApp および Meta との契約に違反し、WhatsApp に不正なリソースなどを埋め込み、被害者たちに損害を与えた。

一連の悪質なアプリが、APK Pure/APKSFree/iDescargar/Malavida だけではなく、Google Play Store からもダウンロードが可能だったということです。Google も Play Store のセキュリティを高めようとしていますが、最近のインシデントだけでも、7月27日の「Google Play Store 上の悪質アプリ 28種:マルウェアによる不正料金の請求など」や、9月4日の「Google Play に侵入/潜伏する SharkBot:狙いはバンキング・ログイン情報の窃取」、9月26日の「Google Play/Apple Store のアドウェア:巧妙に振る舞い 1,300万回インストールに到達」などがあります。よろしければ、Google Play で検索も、ご利用ください。

%d bloggers like this: