米シマンテックは2012年1月30日、同社が1月27日に報告した「Android.Counterclank(以下、Counterclank)」の続報を公表した。同プログラムが仕込まれたアプリは、Android端末に保存された個人情報を盗んだり、端末を乗っ取ったりする恐れがあるとしていたが、実際には、そういった挙動はしないようだ。

 シマンテックは1月27日付けの公式ブログにおいて、悪質なプログラム(ウイルス、マルウエア)を仕込んだアプリが、Androidマーケットで複数公開されていることを報告した。それらのアプリをインストールすると、端末を乗っ取られる恐れなどがあると警告。最大で500万台の端末にインストールされた可能性があると伝えた。

 それを受けて、米国のセキュリティ企業ルックアウトは、シマンテックとは異なる見解を表明。Counterclankの挙動は、一般的なユーザーなら望ましいとは思わないだろうが、悪質とは言えないだろうとコメントした。

 ルックアウトの解析によれば、CounterclankはIMEI(端末識別番号)を取得するものの、送信するのはハッシュ値のみで、生データは送信しないという。

 そのほか、(1)端末に対してプッシュで広告を配信できるようにする、(2)特定の広告サイトへ誘導する「検索アイコン」をホームスクリーンに生成する、(3)特定の広告サイトへ誘導するブックマークを追加する――といった挙動を確認しているという。

 これらの挙動は、いずれも「攻撃的な広告を実現するためで、深刻に考える必要がある」としているものの、「マルウエアには分類されない」と結論付けている。Counterclankは、Android端末に広告を表示させて、作者にお金をもうけさせるプログラムだとしている。そのようなプログラムは「アドウエア」と呼ばれることもある。

 セキュリティ企業の米トレンドマイクロも1月30日付の公式ブログにおいて、ほぼ同様の見解を示している。

 こういった状況を受けて、シマンテックもCounterclankに関する情報をアップデート。1月27日時点では調査中としていた、同プログラムの詳細を公表した。内容は、ルックアウトが公表した情報と同じ点が多い。

 今回初めて明らかにされた情報としては、(1)端末のブランドやモデル、Android OSのバージョン、端末の画面サイズ、ブラウザーの種類なども、特定のサーバーに送信する、(2)ブラウザーのホームページを、特定の広告ページなどに設定する、(3)プログラムが動き出すと、EULA(使用許諾契約書)を表示する仕様になっているが、試したところ表示されなかった、など。

 これらの挙動に加えて同社では、(1)Counterclankを含むアプリをインストールしたユーザーの評価が悪かった、(2)Counterclankと類似の挙動をする「Android.Tonclank」というプログラムを含むアプリが、Androidマーケットで公開停止となった、といったことを考慮し、「Counterclankのユーザーに知らせることを選択した」としている。