InstaAgent というアプリをご存じでしょうか。Instagram のサードパーティーアプリで、ユーザーの Instagramアカウントを訪れた人を追跡する、いわゆるmixiなどにある「足あと」機能を実装したアプリです。
このアプリ、実はInstagramユーザーのユーザーネームとパスワードを収集して遠くのサーバーに転送するマルウェアアプリでした。
Malicious App ‘InstaAgent’ Sends Instagram Passwords to Unknown Server, Posts Spam in Users’ Feeds
http://www.macrumors.com/2015/11/10/malicious-instaagent-instagram-app/
InstaAgent はユーザーネームとパスワードを抜き取る
アプリ開発会社 Peppersoft 社のディベロッパーが InstaAgent をダウンロードしたところ、このアプリがユーザーネームとパスワードを抜き取り、しかも暗号化すらしないまま「instagram.zunamedia.com.」というサーバーに転送していたことを発見しました。
Instagram はサードパーティーアプリに写真をアップロードするのを許可していませんが、InstaAgent は認証情報を使ってログインし、勝手に画像をアップロードすることもわかりました。
ダウンロードされた数は最大100万件!?
InstaAgent はアメリカでこそダウンロード数が伸び悩みましたが、イギリスやカナダでは多くの人がダウンロードし、その全員が情報を抜き取られるリスクに晒されています。
Google Play ストアでは 10~50万件のダウンロード数があり、iOS 用でも同じくらいの数がダウンロードされています。
I would say "Who Viewed Your Profile – InstaAgent" is the first malware in the iOS Appstore that is downloaded half a million times.
— David L-R (@PeppersoftDev) November 10, 2015
すぐに削除を
11月12日現在、すでに Google Play や iOS App Store からは InstaAgent は削除されています。もしまだ入れたままだという人は、すぐに InstaAgent を削除しましょう。また、 Instagram と同じパスワードを他のサイトなどでも使っていた場合、そちらも変更することを強く勧めます。