【ウソ?本当?】Google Playにあるアプリはすべて安全なのか

2019年9月20日

Android向けアプリを入手するときは公式ストアのGoogle Playからダウンロードすること。当社では以前からこのように推奨しています。これは、Google Playにマルウェアが混入することはないという意味ではありません。ただ、非公式のWebサイトよりも、公式ストアの方がマルウェアが見つかることは少なく、定期的にマルウェアが駆除されているのは確かです。

GoogleはどのようにAndroidアプリの安全性を監視しているか

マルウェアがGoogle Playに入り込むのは簡単なことではありません。アプリは公開前に、広範囲に及ぶ要件リストに適合しているかどうか審査を受けます。違反が発見されたアプリは、ストアから締め出されます。

しかし、Google Playには新しいアプリや既存アプリの更新バージョンが山のように届くので、何もかもを把握するのは単純に不可能です。したがって、ときには悪意あるアプリが入り込む場合があります。目立った事例としては、次のものがありました。

2つの顔を持つスキャナー

先日、Kasperskyのリサーチャーは、PDF作成アプリ「CamScanner」内に悪意あるコードを検知しました。このアプリはGoogle Playに公開されていただけでなく、同ストアによると1億人以上がインストールしていました。

CamScannerは、ある時点までは、本来の機能を実行する普通のアプリでした。開発元の収入源は広告とアプリ内課金で、これは特に珍しいことではありません。状況が変わったのは、悪意ある広告モジュールがアプリに追加されたときでした。

「Necro.n」というドロッパー型トロイの木馬が、数ある広告モジュールの1つに忍び込んだのです。このマルウェアは、別のトロイの木馬をインストールし、この後からインストールされたトロイの木馬が、さらに別の悪さをするマルウェア(たとえば、利用者が気づかないうちにサードパーティ製サービスを有料で定期購読させる広告アプリやプログラム)をデバイスにダウンロードする役目を果たしていました。

Googleにこの件を伝えたところ、アプリは直ちにストアから削除されました。また、CamScannerの開発元も、アプリから悪意あるモジュールを速やかに削除し、問題のないバージョンをストアに再公開しました。しかし、悪意あるモジュールを含むバージョンがダウンロード可能だったのは、かなりの期間にわたっていました。

怪盗音楽プレイヤー

Google Playストアで公開されているアプリに悪意ある機能が後から追加された事例は、CamScannerの一件だけではありません。VKontakte(ロシアのSNS。通称VK)で音楽を聴くためのプレイヤーを装ったトロイの木馬も、ここ数年間にわたり同じ方法でストアの審査をかいくぐっています。

元々Google Playにアップロードされたのは問題のないバージョンで、数回ほど行われた更新にも問題はありませんでした。しかし、その後に行われた数回の更新の後、このアプリはVKアカウントのログインIDとパスワードを盗み出し始めました。利用者はそのことにほぼ気づいていなかったばかりか、利用者のアカウントがVK内のグループの宣伝に密かに使われてもいました。

音楽プレイヤーアプリの悪意ある更新バージョンの正体が暴かれ、ストアから削除された後も、すぐに似たようなアプリがいくつも登場しました。このVKアカウント情報を盗む音楽プレイヤーアプリがGoogle Playから削除された(英語記事)のは2015年のことで、少なくとも7個のビルドが削除されましたが、2016年にも類似のアプリがいくつか削除されています。2017年には、2か月の間にKasperskyのアナリストがGoogle Playで同じようなアプリを85個(英語記事)も発見しましたが、そのうち1つはダウンロード回数が100万回を超えていました。また、同じ作者による偽物のTelegram向けアプリも数種類見つかり、こちらはパスワードを盗みはしませんでしたが、サイバー犯罪者が意図するグループやチャットに利用者を追加する機能を持っていました。

Google Playにはびこる悪意の軍団

残念ながら、話はまだ終わりません。2016年、Google Playにあるゲームなど400本のプログラムがトロイの木馬「DressCode」に感染していることが判明しました。

このマルウェアは、デバイスに感染して指令サーバーとの接続を確立すると休眠状態になります。サイバー犯罪者は、後からこのデバイスをDDoS攻撃や広告バナーのクリック数を増やすのに利用したり、デバイスが接続している家庭用ネットワークや企業インフラなどのローカルネットワークへ侵入するのに使用したりします。

Google Playの審査担当を責めることはできません。DressCodeのコードはサイズがとても小さく、メディアアプリ内に紛れ込んでしまうので見つけるのは大変困難です。そもそも、Google PlayではないWebサイトでは、感染したアプリがGoogle Playよりも圧倒的に多く見つかっています。Google Play以外のWebサイトでは、ゲームやスキン、スマートフォンのクリーニングアプリなど約3,000本のアプリにDressCodeが潜んでいることが判明しました。400本でもかなりの数ではありますが。

Google Playでマルウェアを引き当ててしまわないために

このように、アプリが公式ストアの審査を通ったというだけでは、アプリが安全である証になりません。感染を回避するには、Google Playで公開されているものを含め、すべてのアプリに対して注意を怠らず、以下の対策を取ることをお進めします。

  • アプリをすぐにダウンロードしない。ダウンロードの前に、アプリのユーザーレビューに目を通しましょう。アプリのふるまいに関する貴重な情報が書かれていることがあります。開発元についての情報もチェックしてください。もしかすると過去にアプリがストアから削除されたことがある開発元かもしれませんし、何か不穏な話が出てくるかもしれません。
  • ユーザーレビューを読むときは慎重に。中には、自社アプリのページに高評価のレビューを大量に投稿する開発元もあります。自然な言葉遣いで論理的に書かれた、適切な長さのレビュー(ただ「このアプリはすごい!」を繰り返しているだけでないもの)を探しましょう。
  • 数か月に一度、AndroidスマートフォンやAndroidタブレットから必要のないプログラムを削除する習慣をつけましょう。デバイスにインストールされているアプリが少ないほど、監視やコントロールがしやすくなります。
  • 信頼できるセキュリティ製品を使いましょう。Google Playの審査をすり抜けた脅威から身を守ることができます。

さて、Google Playに悪意あるアプリはないという話はウソ?それとも本当?

ウソです。マルウェアは、Google Playにも侵入する場合があります。感染したアプリをAndroidの公式ストアで選んでしまうリスクは、非公式サイトの場合よりもかなり低いのは確かですが、ゼロではありません。