一部のアンチウイルスアプリがユーザーのブラウザ履歴を収集して外部のサーバーへ送っていたTrend Microの「Dr.Battery」をトロイの木馬として検出。

シェアする

スポンサーリンク

 一部のアンチウイルスアプリがユーザーのブラウザ履歴などを収集して外部のサーバーへ送っていたTrend Microの「Dr.Battery」をトロイの木馬として検出しています。詳細は以下から。

Dr. Battery

 昨年09月、Mac App Storeで公開されていたTrend Micro社の”Dr. Antivirus”や”Dr. Cleaner”などのアプリが、ユーザーのブラウザ履歴を同意なく収集し、Trend Microが管理するアメリカ国内のAWSサーバーへ送っていたことが明らかになり、その後これらのアプリがMac App Storeから消えましたが、これらのアプリと同様にTrend Microが公開していた”Dr. Battery”が他のアンチウィルスアプリでトロイの木馬として検出されだしています。

Dr. Batteryの起動

また、ブラウザ履歴を取得しているアプリで、日本国内で提供していたDr. Cleaner(国内製品名:ライトクリーナー LE)及びDr. Cleaner Pro(国内製品名:ライトクリーナー)のほかに、Dr. Battery、Duplicate Finderが9月8日時点(日本時間)で日本向けに誤って公開されていたことがわかりました。

App Store上の当社アプリに関する重要なお知らせ – トレンドマイクロ

スポンサーリンク

Dr.Battery

 トロイの木馬として検出されたのは同じくTrend Microがユーザー情報を収集していたと発表したMac用のバッテリーユーティリティDr.Batteryで、今朝古いVMを起動したところ検証用にインストールしていたESET Cyber Securityがいくつかのファイルを”OSX/Spy.Agent.O”として隔離&削除したので確認したところ、

ESET Cyber SecurityとTrend Micro

VirusTotalではESETやAvast&AVG、Kaspersky、Symantecなど60のアンチウィルスアプリの内、22のアプリの検出エンジンが”Dr. Battery”をスパイウェアやトロイの木馬として検出するようになっていました。

OSX/Spy.Agent.O

正確にはDr.Battery内のMach-Oファイル

 Trend MicroのDr. CleanerやUnarchiver, Batteryは、この問題を公開した米Malwarebytesの「Malwarebytes for Mac」が昨年09月の時点で、PUPとして検出するようになっていましたが、VirusTotalによるとその後、11月頃から他のアンチウィルス・エンジンも検出に対応したようで、ESETの場合リアルタイム検出でDr.BatteryのMach-Oファイルのみ削除され、アプリが起動できなくなります。

DrBattery.app/Contents/MacOS/DrBattery

おまけ

 一応確認しましたが、AppleのGatekeeperによって開発者署名が無効化されているわけではないので、Dr.シリーズを検出するアンチウィルスアプリさえ利用されていなければDr.Batteryを利用することが可能で、なぜか開発者署名が異なるライトクリーナー(Dr. Cleaner)については各アンチウィルスアプリが未検出のままとなっています。

Trend MicroのDr. Batteryとライトクリーナー

Dr. BatteryのSignature Info

Appleにより公開が停止されていた一部のiOS用アプリはApp Storeで公開が再開されましたが、Mac用のライトクリーナーについてはまだAppleと調整がついていないようです。

コメント

  1. 匿名 より:

    神奈川県警、仕事だぞ