マカフィーは29日、JavaScriptで端末内の電話番号を盗むAndroidアプリを、Google Play上で約120個確認したとして、同社の公式ブログ「McAfee Blog」で発表した。そのほとんどがアダルトコンテンツに偽装されたものという。

アプリは韓国語のみをサポートしているため、主に韓国ユーザーを標的にしていると考えられるという。ただし、アダルト関連の日本語キーワードで検索した場合でも、結果画面に現れるため、同社は注意を喚起している。

韓国ユーザーを標的としたGoogle Play上の不審なアプリの例(McAfee Blogより)

これらのアプリを起動すると、ユーザー側に事前通知や承認なく、端末の電話番号を取得し、アプリ開発者のサーバに送信される。アプリは、JavaScriptベースのモバイルアプリ開発フレームワーク「Appspresso」で開発されたものという。「Appspresso」を使うと、アプリの主要なロジックをHTMLやJavaScriptで記述でき、JavaScript経由でAndroidの機能を呼び出せる。

そしてAndroidのJava APIを利用し、端末の電話番号を取得する”phone()”メソッドを独自プラグインに実装、これをアプリのJavaScriptコードで呼び出す。”phone()”で電話番号を取得し、アプリ起動時にWebView上でアクセスするURL内のクエリパラメータに指定することで、開発者のサーバに送信する仕組みだ。

同社は、これらのアプリの機能に電話番号を取得する必要性が薄く、電話番号の詐取を目的として設計されている可能性が高いとしている。

壁紙設定アプリとして公開されている不審アプリの例(McAfee Blogより)