アプリ開発者からの報告によると、TwitterのSMS認証有料化の報道後、App Storeで二要素認証(2FA)の詐欺アプリが多数出現したとのことで、注意を呼びかけています。
二要素認証の詐欺アプリがデータを盗んで高額課金
先週Twitterは、テキストメッセージベースのSMSでの2要素認証(2FA)が、2023年3月20日よりTwitter Blueサブスクライバーのみが利用できるようになると発表しました。
これがきっかけとなった可能性がありますが、9to5Macによると、開発者でありセキュリティ研究者のMysk氏は、AppleのApp Storeで類似の二要素認証の詐欺アプリを多数発見し、Twitterで情報共有。
The App Store should do something about these apps. There seems to be some white-label app that scammers purchase, rebrand, and deploy to the @AppStore. Any average user can spot the striking similarities between them. How come the App Review team did not spot that? https://t.co/TOWT0G6PzN
— Mysk 🇨🇦🇩🇪 (@mysk_co) February 20, 2023
9to5Macによると、Mysk氏によって発見された二要素認証の詐欺アプリは以下の写真の通りで、10以上あります。
9to5Mac
9to5Macによると、今回発見された二要素認証の詐欺アプリの中には、米国で広告キャンペーンを実施しているものがあるとのことで、確認してみたところ、日本では広告していませんでしたが、検索の下の「あなたにおすすめ」のなかにロゴがよく似たアプリを発見しましたので注意が必要です。
Mysk氏によると、二要素認証の詐欺アプリはすべて無料でインストールできますが、3日間の無料トライアル期間でもQRコードをスキャンできず、アプリ内購入で年間40ドルのサブスクリプションを購入するまでQRコードをスキャンできないとのことです。
開発者のKevin Archer氏は、クローズボックスをタップしても購読を強制しようとする、二要素認証の詐欺アプリを発見しました。
Let me show you something interesting. This app was released on 02/19/2023 and ranks 5 for "authenticator app" in the US App Store. As you can see from the video, once you tap on "X" to close the paywall, you will get triggered in subscription confirmation. pic.twitter.com/JI7XBcAy1s
— Kevin Archer (@IM_Kevin_Archer) February 21, 2023
Archer氏は、「面白いものをお見せしましょう。このアプリは2023年2月19日にリリースされ、米国App Storeの認証アプリで5位にランクされています。ビデオからわかるように、「X」をタップしてペイウォールを閉じると、サブスクリプションの確認がトリガーされます」と伝え、動画を共有しています。
You need to be careful when you search for an authenticator app. This app sends the scanned QR codes to the developer's #Google analytics service. You won't miss it. It's running an ad campaign on the #AppStore#Privacy #CyberSecurity #2FA pic.twitter.com/huvAtilUnV
— Mysk 🇨🇦🇩🇪 (@mysk_co) February 19, 2023
Mysk氏は、スキャンしたQRコードを、詐欺アプリの開発者へ送信するアプリを発見しました。
このアプリは、米国のApp Storeで広告キャンペーンを実施しており、簡単に見つかるとのことです。
二要素認証でアプリを利用するのであれば、無料のGoogle Authenticatorアプリの使用をおすすめします。
【Amazonの裏技】検索で「アレ」を追加すると、信頼度が一気に上がる
