マカフィーは11月29日、電話番号を抜き取るAndroidアプリがGoogle Play上に多数掲載されているとして注意を呼びかけている。これらのアプリは韓国語表記のものだが、アダルト関連の日本語キーワードで検索するとアプリが引っかかってしまうという。

電話番号を抜き取るAndroidアプリはGoogle Play上でアダルトジャンルのものを含む約120個が公開されている。これらのアプリは11月初旬からGoogle Play上で公開され続けており、ダウンロード総数は最低でも17万件、最大で64万件に達している可能性がある。

アプリのリスト(マカフィーより)

JavaScriptベースのハイブリッド・モバイルアプリ開発フレームワークの1つである「Appspresso」を利用して開発されており、このフレームワークは以前、日本を狙った攻撃にも使用されていたという。

このフレームワークを利用するメリットとしては、AndroidのJava APIであるTelephonyManager.getLine1Number()メソッドを使用できる点にあるという。このメソッドを使用して端末の電話番号を取得する"phone()"メソッドを独自プラグインに実装して、アプリのJavaScriptコードからそれらを呼び出せるようにしている。

そしてそのJavaScriptコードでは、この"phone()"を使用して電話番号を取得し、アプリ起動時にWebView上でアクセスするURL内のクエリパラメータにそれを指定することでWebサーバーに送信している。

phone()メソッドを定義したJavaコード

電話番号を取得して外部サーバーに送信するためのJavaScriptコード