TikTokやMinecraftを装った200本超(Zimperiumの調査では約250本に近い数)のAndroidアプリが、SIMカードを読み取って気づかぬうちにプレミアム課金へ加入させていた——セキュリティ企業Zimperiumがそんなキャリア課金詐欺キャンペーンを公表したと報じられています。被害は4か国・少なくとも10キャリアの利用者に集中。日本のキャリアは対象外ですが、SMS Retriever APIなど正規機能を悪用する手口は、キャリア決済を持つ国であれば原理的に応用可能とされています。本記事では手口の核心と、日本のAndroid利用者がいま確認すべきポイントを整理します。

なお、本記事はZimperiumの観測データに基づく報告を引用したものであり、被害規模・活動範囲・カバーされていない国や事業者については、今後の追加調査で更新される可能性があります。

200本超の偽アプリでプレミアム課金へ自動加入

SlashGearの報道によると、Zimperiumが発見したこのキャンペーンでは、TikTok・Minecraft・Grand Theft Auto・Instagram Threads・Facebook Messengerといった人気アプリやサービスを装ったAndroidアプリ(Zimperiumの観測では約250本に近い規模)が使われたとされています。インストールされたアプリは利用者に気づかれないままプレミアム課金サービスへの加入処理を自動実行し、キャリア請求にプレミアム料金を上乗せしていたと報じられています(公開情報の範囲では「premium fees」「subscription engines」とのみ説明されており、課金頻度の詳細は明らかにされていません)。

実行手段としては、JavaScriptインジェクション、SMS経由のワンタイムパスワード(OTP)の傍受、隠しWebViewを使った課金ポータルの自動操作が組み合わされていたとされています。検知回避のため、ターゲット外のSIMを差している端末には無害なWebページだけを表示するという作り込みもなされていたと伝えられています。

Zimperiumがこの活動を最初に検知したのは2025年3月で、活動は2025年9月にピークを迎え、少なくとも2026年1月まで追跡されたとされています。感染経路自体は現時点でも明らかにされていません。

3つのマルウェア亜種——SMS横取りからTelegram連携まで

Zimperiumの分析によると、攻撃には3つのマルウェア亜種が使われていたと報じられています。

  • 亜種1:「自動サブスクリプションエンジン」——SMS Retriever API悪用でOTPを取得: 端末のSIMを読み取り、マレーシアのDiGiなどハードコードされた通信事業者の利用者のみを標的化したとされます。GoogleのSMS Retriever APIを悪用してOTPを盗み、ゲームアカウントの認証を装うソーシャルエンジニアリングで利用者を騙したうえで、隠しWebページにJavaScriptを送り込み、キャリア課金ポータル経由でプレミアム課金へ加入させていたと報じられています。
  • 亜種2:タイ向けプレミアムSMS型——表向きは正規ページ、裏で隠しWebView: 多段構成で検知回避を図り、利用者にはまっとうなWebページを見せながら、裏側で隠しWebViewを読み込んで複数のキャリア課金ポータルへアクセスしていたとされています。さらにZimperiumによれば、「高度なCookie窃取技術」によりキャリア課金システムとの認証セッションを維持し続けていたと伝えられています。
  • 亜種3:Telegram通知付き——成功率追跡と運用最適化を実装: 過去2亜種のSMS詐欺機能に、Telegram経由のリアルタイム通知を組み合わせた構成とされます。Zimperiumによれば、攻撃者は感染と課金成功を即座に把握でき、成功率の追跡と運用最適化を行えるようになっていたと報じられています。

Telegram連携の存在は、本キャンペーンが単発の詐欺ではなく継続運用を前提とした「ビジネス」として組まれていたことを示唆していると読めます。

被害は4か国・10キャリアに集中——マレーシアと東南欧2か国

被害の地理的偏りは大きく、SIMベースで見ると半数以上がマレーシアの利用者だったとされています。タイとルーマニアがそれぞれ約15%、クロアチアが約1%と続くと報じられています。標的となった国は東南アジア(マレーシア・タイ)と南東欧(ルーマニア・クロアチア)の4か国です。

標的となったキャリアは少なくとも10社で、感染端末数の多い順(プレバレンス順)にDiGi、Marxis、Celcom、U Mobile、Telekom、AIS、Orange、Vodafone、TrueMove H、dtac TriNetが挙げられているとされます。日本のキャリアは対象に含まれていません。ただし手口自体はキャリア課金(いわゆるキャリア決済)を持つ国であれば原理的に応用可能とされているため、SIMカードを読むパーミッションを求める無名アプリには引き続き注意が必要です。

Zimperiumは、活動自体は2026年1月以降観測されていないとしつつも、「インフラの一部は依然として稼働中」と報告しており、再活性化のリスクは残っていると伝えられています。これらはあくまでZimperiumの観測時点での情報であり、最終的な被害実態や活動再開の有無は今後の追加調査で更新される可能性があります。

Google弁明と専門家の反論——"正規API悪用"という構造問題

Googleは、当該の偽アプリはいずれも公式ストアであるGoogle Playでは配布されていないとし、Dark Readingに対して「Google Play ServicesがインストールされたAndroid端末では、既知のバージョンに対してGoogle Play Protectが既定で有効化されており、利用者は自動的に保護されている」と説明したと報じられています。実際、Play Protectは既定で有効です。

一方で、AI研究エンジニアのVineeta Sangaraju氏はDark Readingに対し「これらは無名の攻撃面ではなく、ドキュメント化された広く使われているプラットフォーム機能であり、その悪用余地に対する制御が追いついていない」と指摘したとされています。SMS Retriever APIやCookieManager APIといった正規機能の組み合わせで詐欺が成立してしまっている点は、Androidアプリ流通全体への問題提起と受け止められそうです。

SIM権限を求める無名アプリは即削除——いま確認すべき3点

日本ユーザーへの直接被害は現時点で報告されていませんが、念のため次の3点を確認しておきましょう。

  1. サイドロードを避ける: 公式ストア外(いわゆるサイドロード)からのアプリインストールは避け、Google Play Protectを有効のままにしてください。
  2. SIM・SMS権限を持つアプリを棚卸し: 心当たりのない海外ゲーム・SNS風アプリが入っているなら、「設定→アプリ→権限マネージャー→SMS」および「電話」を順に開き、不要な権限を持つアプリは削除しましょう。
  3. IoCで詳細確認(技術者向け): ZimperiumはGitHubリポジトリで侵害指標(IoC)を公開しているとされており、セキュリティ担当者は個別のパッケージ名・通信先を確認できます。

「Play Storeにない200本超のアプリ」という規模感は、Androidアプリ生態系のリスク再確認のきっかけとして留めておきたい事案です。

検知回避の細部——Wi-Fi強制切断・遅延SMS・Cookie抽出

攻撃者が課金認証とキャリア側の不正検知の両方を技術的に回避するため、複数の細かい工作を組み合わせていたことが報告されています。

  • Wi-Fi無効化による携帯回線強制: マルウェアは端末のWi-Fi接続を無効化し、すべての通信を携帯網経由に強制していたとされ、これはキャリア課金認証が携帯回線を要件としているためです。
  • TACの自動入力: DiGi利用者の端末では隠しWebViewが裏で読み込まれ、JavaScriptインジェクションにより「Request TAC」ボタンを自動押下、認証コードを自動入力したうえで「Confirm」を押す挙動が確認されています。
  • 遅延SMSによる検知パターン回避: タイ向けの亜種では60秒・90秒の遅延SMS送信を用い、自動的な不正検知を逃れる設計とされています。
  • CookieManager API悪用: TrueMove H利用者向けには、隠しWebViewでキャリア課金ページを読み込み、セッションCookieをAndroidのCookieManager APIで抽出し、認証済みセッションの維持に再利用していました。

キャンペーン全体では少なくとも12種のプレミアムSMSショートコードが特定されており、広範な運用が裏付けられています。

Zimperium 2026年レポートが示すモバイル詐欺の地殻変動

今回のキャリア課金詐欺は、2026年に入ってZimperiumが立て続けに警告しているモバイル脅威の連続報告の一部として位置づけられます。

Zimperiumのレポートによれば、zLabsチームは2025年を通じて90か国・1,243の金融機関を標的とする34のマルウェアファミリーを追跡し、Androidマルウェアによる金融取引は前年比67%増加したとされています。

別働の4キャンペーンも同時進行

2026年4月にはZimperiumが、RecruitRat・SaferRat・Astrinox・Massivと命名した4つの新たなAndroidマルウェアキャンペーンを公表しており、世界で800以上のアプリを標的としています。RecruitRatは700以上の偽ログインページを内蔵する設計とされています。

防御側の対応も加速

Zimperium自身も2026年5月にAI搭載のMobile App Response Agentを発表しています。キャリア課金詐欺は単独のインシデントというより、モバイル詐欺の生態系全体が高度化している傾向のひとつとして読むのが適切です。

Q&A

Q. 日本のキャリアやユーザーも対象になっていますか? 今回確認された4か国(マレーシア・タイ・ルーマニア・クロアチア)と10キャリアのリストに、日本のキャリアは含まれていないと報じられています。マルウェアはSIM情報で対象を絞り込み、対象外のSIMには無害な画面しか表示しない設計とされており、現時点で日本ユーザーへの直接被害は報告されていません。

Q. 偽アプリはGoogle Playストアからも配布されていたのですか? Googleは、今回特定された偽アプリはいずれもGoogle Playでは配布されていないと説明したと報じられています。Google Play Protectは既知のバージョンに対して既定で保護を提供しているとされていますが、公式ストア外からのインストール(サイドロード)は引き続き避けるのが安全です。

Q. 自分が感染しているか確認する方法はありますか? 一般利用者は、「設定→アプリ→権限マネージャー→SMS/電話」を開き、心当たりのないアプリ、特にSIMやSMS権限を要求するものがないかを確認し、不審なものは削除してください。技術者の方は、Zimperiumが侵害指標(IoC)をGitHubリポジトリで公開しているとされているので、当該パッケージ名・通信先と端末のインストール状況・通信ログを照合できます。

出典