トレンドマイクロの脅威調査機関である「Forward-looking Threat Research（FTR）」では、さまざまな調査を行っています。その調査のひとつから、Android向け正規アプリマーケットである「Google Play」上で、9月4日前後から「Adobe　Flash Player」の名称を偽装する不審なアプリが公開されていたことを確認しました。既にトレンドマイクロ製品ではこの「偽Flash Player」を「ANDROIDOS_REVMOB.A」として検出可能です。
「Adobe Flash Player」の開発元である Adobe では、既に Andorid 4.1 以降のバージョンへの Flash Player の対応を終了しており、2012年8月15日に Google Play 上での提供も終了しています（参考：Adobe の発表）。しかし、それ以前は Flash非対応の iPhone、iOS に対して、Android OS の大きな差別点となっており、現在でも Flash対応への需要は根強く残っているようです。攻撃者はこの Google Play 上での Flash Player 不在の状況と、根強い需要の双方に着目し、有効な攻撃手段として Flash Player の偽装を選択したものと考えられます。この攻撃者の狙いは的中したと言えるでしょう。公開から FTR の調査時点までにこの「偽Flash Player」は 5万件以上のダウンロードが行われていました。

詳細解析の結果、Flash Playerを偽装した不正アプリ「ANDROIDOS_REVMOB.A」の最終的な目的はアドウェア活動による金銭利益ということがわかりました。このような人気アプリへの偽装により、不正アプリを配布する攻撃手段は、これまでも中心的な方法でしたが、今後も続くことが予測されます。アプリ名だけで正規アプリと判断するのではなく、要求する権限情報やデベロッパーなどの周辺情報も確認して判断すべきでしょう。
また、今回の「ANDROIDOS_REVMOB.A」の偽装に利用された Flash Player ですが、先述の通り、Google Play上での提供は終了していますが、Adobe の正規サイトからは入手することが可能です。Android 4.1 以降のサポートは終了していることを理解した上で、Flash Player の利用が必要なユーザは、Adobe の説明に従って入手することを推奨します。

正規マーケット「Google Play」上で公開されていた「偽Flash Player」の正体は？ | トレンドマイクロ セキュリティブログ