警視庁ハイテク犯罪対策課と赤坂署は30日、「the Movie」と呼ばれたAndroidスマートフォン向けマルウェアを配布し、ユーザーの個人情報を取得したとして、不正指令電磁的記録共用罪で、会社役員ら男女5人を逮捕した。報道によれば、容疑者らが設置したサーバーには、約9万の端末から1,000万件あまりの情報が保存されていたという。
「the Movie」は、アプリのゲーム動画などを偽装してGoogle Play上で配布されていた複数のアプリで、Android端末上でインストールして実行すると、自局番号、端末内のアドレス帳のデータなどの個人情報を抜き取り、容疑者らのレンタルサーバーに送信していた。逮捕事由としては、3月21日ごろにアプリを配布し、4月に個人情報を窃取した、というもの。
シマンテックの調査では、最初に同マルウェアが公開されたのは2月10日ごろで、ゲーム関連だけでなく、連絡先管理アプリやレシピアプリなど、7つの開発者による29種類(Google Play上のアプリ名では44種類)のアプリが公開されていた。ネットエージェントによれば4月13日にはGoogle Playからアプリが削除され、送信先のサーバーも停止していたが、その間に多くの個人情報が送信されていたことになる。
京都府警も同日、「電池長持ち」「電波改善」などといった個人情報を盗むAndroidアプリを保管していたとして男を逮捕したという報道がされたが、いずれのアプリも、インストール時に利用する権限として「連絡先データの読み取り」が設定されていた。アプリのインストール時には、権限をきちんとチェックし、不審なアプリはインストールしないように気をつけたい。