一部のアンチウイルスアプリがユーザーのブラウザ履歴を収集して外部のサーバーへ送っていたTrend Microの「Dr.Battery」をトロイの木馬として検出。

　一部のアンチウイルスアプリがユーザーのブラウザ履歴などを収集して外部のサーバーへ送っていたTrend Microの「Dr.Battery」をトロイの木馬として検出しています。詳細は以下から。

　昨年09月、Mac App Storeで公開されていたTrend Micro社の”Dr. Antivirus”や”Dr. Cleaner”などのアプリが、ユーザーのブラウザ履歴を同意なく収集し、Trend Microが管理するアメリカ国内のAWSサーバーへ送っていたことが明らかになり、その後これらのアプリがMac App Storeから消えましたが、これらのアプリと同様にTrend Microが公開していた”Dr. Battery”が他のアンチウィルスアプリでトロイの木馬として検出されだしています。

また、ブラウザ履歴を取得しているアプリで、日本国内で提供していたDr. Cleaner（国内製品名：ライトクリーナー LE）及びDr. Cleaner Pro（国内製品名：ライトクリーナー）のほかに、Dr. Battery、Duplicate Finderが9月8日時点（日本時間）で日本向けに誤って公開されていたことがわかりました。

App Store上の当社アプリに関する重要なお知らせ – トレンドマイクロ

Dr.Battery

　トロイの木馬として検出されたのは同じくTrend Microがユーザー情報を収集していたと発表したMac用のバッテリーユーティリティ“Dr.Battery“で、今朝古いVMを起動したところ検証用にインストールしていたESET Cyber Securityがいくつかのファイルを”OSX/Spy.Agent.O”として隔離＆削除したので確認したところ、

VirusTotalではESETやAvast&AVG、Kaspersky、Symantecなど60のアンチウィルスアプリの内、22のアプリの検出エンジンが”Dr. Battery”をスパイウェアやトロイの木馬として検出するようになっていました。

　Trend MicroのDr. CleanerやUnarchiver, Batteryは、この問題を公開した米Malwarebytesの「Malwarebytes for Mac」が昨年09月の時点で、PUPとして検出するようになっていましたが、VirusTotalによるとその後、11月頃から他のアンチウィルス・エンジンも検出に対応したようで、ESETの場合リアルタイム検出でDr.BatteryのMach-Oファイルのみ削除され、アプリが起動できなくなります。

DrBattery.app/Contents/MacOS/DrBattery

おまけ

　一応確認しましたが、AppleのGatekeeperによって開発者署名が無効化されているわけではないので、Dr.シリーズを検出するアンチウィルスアプリさえ利用されていなければDr.Batteryを利用することが可能で、なぜか開発者署名が異なる「ライトクリーナー(Dr. Cleaner)」については各アンチウィルスアプリが未検出のままとなっています。

Dr. BatteryのSignature Info

• AppName : Dr.Battery
• Identifier : com.trendmicro.DrBattery
• Team Identifier : E8P47U2H32
• SHA-256(VirusTotal) : 5634d0e2f72eb123a64d7c1f2926ac3be970dbccaeda275cb49e09a772413e79

• App Store上の当社アプリに関する重要なお知らせ – トレンドマイクロ