Google Playのアプリにマルウェア 2023年は6億回以上ダウンロードされる

Google Playに侵入したAndroidマルウェアについて、最近の事例をご紹介します。

一般にGoogle Playストアからアプリをダウンロードすれば安全だと思われています。それは、Google PlayがAndroidの正式なストアであり、そこにあるアプリはすべてGoogleのモデレーターが審査している、という認識に基づいているからです。

しかし、本当にそうなのでしょうか。考えてみてください。Google Playには、300万以上のアプリがあり、その大部分は定期的にアップデートされています。それらをすべて徹底的に、繰り返し審査するというのは、世界最大の企業のリソースをもってしてもほぼ不可能なことです。

悪意のあるアプリの作成者はそれを知っており、Google Playに自分のアプリを紛れ込ませる多くの手口を編み出しています。この記事では、公式ストアのマルウェアに関する、2023年に最も注目を集めた事例を紹介します。ダウンロード回数は総計なんと6億回を超えています。では本題に移りましょう。

ダウンロード数5万回:感染したiRecorderアプリがユーザーを盗聴

かなりマイナーではありますが、非常に興味深くわかりやすいiRecorderの例から始めましょう。これはAndroidスマートフォン向けの地味な画面録画アプリで、Google Playにアップロードされたのは2021年9月のことでした。

しかし2022年8月のアップデートで、このアプリの開発者は悪意のある機能を追加しました。それはリモートアクセス型トロイの木馬「AhMyth」のコードです。このコードは、アプリをインストールしたすべてのユーザーのスマートフォンに15分ごとにマイクからの音を録音させ、アプリ作成者のサーバーに送信させました。2023年5月にリサーチャーがマルウェアを発見するまでに、iRecorderアプリは5万回以上もダウンロードされていました。

この例は、悪意のあるアプリがGoogle Playに侵入する一つの方法を示しています。まず、サイバー犯罪者は、すべての運営側のチェックを確実に通過するようなアプリをまず公式ストアにアップロードします。そして、アプリが利用者を増やし、何らかの評価を獲得したタイミングで(数か月から数年かかることもあります)、次のアップデートに悪意のある機能を追加します。

ダウンロード数62万回:サブスクリプション型トロイの木馬「Fleckpe」

2023年5 月にも、当社のエキスパートは、Google Play 上でサブスクリプション型トロイの木馬「Fleckpe」に感染した複数のアプリを発見しました。その時点で、インストール数は既に62万回に達していました。興味深いのは、このアプリをアップロードしたのは別の開発者であるということです。そしてこれもよくある手口です。サイバー犯罪者はストアに多数の開発者アカウントを作成しています。モデレーターにブロックされたとしても、別のアカウントで同様のアプリをアップロードすれば済むようにするためです。

サブスクリプション型トロイの木馬「Fleckpe」に感染した Google Playのアプリ

サブスクリプション型トロイの木馬「Fleckpe」に感染した Google Playのアプリ

感染したアプリが実行されると、悪意のあるメインのペイロードが被害者のスマートフォンにダウンロードされます。その後、トロイの木馬はコマンド&コントロールサーバーに接続し、国と携帯電話会社の情報を転送します。この情報に基づいて、サーバーは続行方法に関する指示を提供します。その後Fleckpe は、ユーザーには見えないブラウザーウィンドウで有料サブスクリプションのWeb ページを開き、受信通知から確認コードを傍受して、携帯電話会社のアカウント経由で料金を支払う不必要なサービスにユーザーを登録します。

ダウンロード数150万回:中国製スパイウェア

2023年7月、Google Playが2つのファイルマネージャーをホストしていることが判明しました。一つはダウンロード数100万回、もう一つは50万回でした。アプリはデータを収集しないと開発者が保証しているにもかかわらず、リサーチャーは、連絡先、リアルタイムの位置情報、スマートフォンの機種や 携帯電話ネットワークに関するデータ、写真、音声ファイル、動画ファイルなど、多くのユーザー情報を中国のサーバーに送信していることを発見しました。

Google Playのファイルマネージャーがスパイウェアに感染

中国のスパイウェアが組み込まれているファイルマネージャーアプリ(出典

ユーザーにアンインストールされないように、感染したアプリのメイン画面のアイコンは非表示にされました。これも、このようなマルウェアの作成者がよく使う手口です。

ダウンロード数250万回:バックグラウンドアドウェア

2023年8月にGoogle Playで検知された最近のマルウェアの事例では、ユーザーのスマートフォンの画面がオフの時に秘密裏に広告を読み込む43個ものアプリ(TV/DMBプレイヤー、音楽ダウンローダー、ニュース、カレンダーなどを含む)をリサーチャーが発見しました。

Google Playのアプリに広告がこっそり表示される

隠れたアドウェアが実装された一部のアプリ(出典)。

バックグラウンドで悪事を遂行できるようにするため、アプリは省電力除外リストに自身を追加するようユーザーに要求します。当然、影響を受けたユーザーのデバイスはバッテリーの寿命が短くなります。これらのアプリのダウンロード数は合計250万に達し、主に韓国在住のユーザーが影響を受けました。

ダウンロード数2000万回:報酬を約束する詐欺アプリ

2023年初頭に発表された調査によりますと、Google Play上で2000万ダウンロードを超える不審なアプリが複数存在することが明らかになりました。主に健康管理アプリとして位置づけられ、ウォーキングやその他の活動、広告の閲覧や他のアプリのインストールに対して、ユーザーに現金報酬を提供するとされました。

歩行や広告視聴に対する報酬を約束する詐欺アプリがGoogle Playに登場

歩行や広告視聴に対する報酬を約束するアプリがGoogle Playに登場(出典

より正確に言うと、ユーザーはこれらの活動に対してポイントを獲得し、そのポイントを実際のお金に換えることができるとされています。唯一の問題は、報酬を獲得するには膨大な数のポイントを貯めなければならないため、実質的には不可能だったということです。

ダウンロード数3500万回:アドウェアを内包したMinecraftのクローン

Google Playは2023年も、悪意のあるゲームの巣窟となりました。標的となったのは依然として世界で最も人気のあるタイトルの一つMinecraftで、これが初めてではありません。2023年4月、公式Androidストアで38個のMinecraftゲームアプリのクローンが検知され、合計3500万ダウンロードされました。これらのアプリの内部には、HiddenAdsというアドウェアが隠れていました。

アドウェアに感染したMinecraftクローンがGoogle Playに登場

Block Box Master Diamond — HiddenAdsに感染したMinecraftクローンで最もよく利用されるケース(出典

感染したアプリが起動されると、ユーザーの知らない間に隠れた広告が「表示」されます。それ自体は深刻な脅威ではないのですが、この動作によってデバイスのパフォーマンスとバッテリー寿命に影響を与える可能性があります。

そして、感染したアプリの次には、被害がこの程度では収まらないほど有害な収益化の手口に引っ掛かるのが、いつものパターンです。これは、Androidマルウェアのアプリ作成者のもう1つの標準的な手口です。彼らはその時々で利益となるものに応じて、悪意のある活動のタイプをすぐに切り替えます。

ダウンロード数1億回:データ収集とクリック詐欺

また2023年4月には、リサーチャーがGoldosonと名付けたアドウェアに感染した別の60個のアプリがGoogle Playで発見されました。これらのアプリはGoogle Playで計1億回以上ダウンロードされ、韓国で人気があるONEストアでは、さらに800万回以上ダウンロードされました。

このマルウェアは、アプリ内のWebページをバックグラウンドで開くことによって、隠れた広告を「表示」します。さらに、この悪意のあるアプリはユーザーデータを収集します。収集されるのは、インストールされているアプリ、位置情報、Wi-FiやBluetooth経由でスマートフォンに接続されているデバイスのアドレス情報などです、

Goldosonは、多くの正規の開発者が使用する感染ライブラリと一緒に、これらのアプリに侵入した模様です。開発者たちは、悪意のある機能が含まれていることに気づいていなかっただけでした。そして、これは珍しいことではありません。多くの場合、マルウェア作成者は自分でアプリを開発してGoogle Playに公開するのではなく、この種の感染したライブラリを作成し、他の開発者のアプリに侵入させてストアに配置します。

ダウンロード数4億5100万回:ミニゲーム広告とデータ収集

最後は、2023年最大の事例をご紹介しましょう。2023年5月、リサーチチームがGoogle Play上で発見した不適格なアプリの数はなんと101個にも及び、ダウンロード数は合計4億2100万回に達しました。その1つ1つに、SpinOkのコードライブラリが潜んでいたのです。

その直後、別のリサーチャーチームは、さらに92個のアプリをGoogle Play上で発見しました。同じSpinOkライブラリが含まれており、そのダウンロード数はやや控えめで、3000万でした。SpinOKのコードを含むアプリは全部で200近く見つかり、Google Playからのダウンロード数は合計で4億5100万回に達しました。これは、危険なコードがサードパーティのライブラリからアプリケーションに配信された別のケースです。

SpinOkが宣伝するミニゲーム

SpinOkに感染したアプリがユーザーに示す「報酬」を約束するミニゲーム(出典

表面上、このアプリの役割は、現金報酬を約束する押しつけがましいミニゲームを表示することでした。しかし、それだけではありません。SpinOKライブラリには、ユーザーのデータやファイルを収集し、バックグラウンドで開発者のコマンド&コントロールサーバーに送信する機能がありました。

Google Playでマルウェア感染を防ぐ方法

もちろん、2023年にGoogle Playで確認された悪意のあるアプリは、これらがすべてではありません。最も注目された事例のみを掲載しています。この投稿で特に強調したい点は次の通りです。Google Play上にはマルウェアに感染したアプリが多数存在し、総計5億回と、予想を超える数がダウンロードされています。

それでもなお、公式ストアが最も安全なダウンロード元であることに変わりはありません。その他の場所からアプリをダウンロードするのは各段に危険であり、そのような場所からは決してダウンロードしないことを強く推奨します。ただし、公式ストアでも注意が必要です。

  • 新しいアプリをダウンロードするたびに、ストアのページを注意深くチェックして、それが本物であることをチェックしてください。開発者の名前には特に注意しましょう。サイバー犯罪者が人気のアプリのクローンを作成し、同様の名前、アイコン、説明を付与してGoogle Playに配置し、ユーザーにダウンロードさせようとするのは、珍しいことではありません。
  • アプリの総合評価をうのみにしないようにしましょう。評価を水増しするのは簡単です。絶賛レビューの捏造も、簡単にできることです。代わりに、評価の低い否定的なレビューに注目しましょう。アプリの問題はたいてい、そのレビューの中で説明されています。
  • 信頼性が高い保護アプリを、所有するAndroidデバイスすべてに必ずインストールしましょう。トロイの木馬がスマートフォンやタブレットに侵入しようとしたら、事前に警告してくれます。
  • 無料版アプリの場合は、時々手動でデバイススキャンを実行してください。また、新しいアプリのインストール後初めて起動する前にウイルス対策スキャンを必ず実行しましょう。
  • ちなみに、カスペルスキー スタンダードカスペルスキー プラスカスペルスキー プレミアムを使用すると自動的にスキャンが実行され、感染したアプリからユーザーを保護します。
ヒント
新着記事をメールでお知らせします