1.5百万インストールのAndroidアプリがユーザーデータを中国に送信していることが発覚

プラデオのセキュリティ研究者は、Google Playストアに隠れているファイル管理アプリを装った2つのスパイウェアアプリを検出し、最大150万人のAndroidユーザーに影響を与えていることを報告しました。

モバイルセキュリティ会社によると、これら2つの悪意のあるアプリは、ユーザーの入力なしに起動し、敏感なユーザーデータを静かに収集して、中国に拠点を置く疑わしいサーバーに送信するようにプログラムされています。

この2つのスパイウェアアプリは、File RecoveryとData Recovery（com.spot.music.filedate）、インストール数は100万以上、File Manager（com.file.box.master.gkd）、インストール数は50万以上です。

両方のアプリケーションは同じ開発者から提供されており、類似の悪意のある挙動を示しています。

これらのアプリはどのように機能するのか？

この2つのスパイウェアアプリは、Google Playストアでプラデオの行動分析エンジンによって発見されました。これらのアプリは、ユーザーのデバイスからデータを収集しないと主張しています。また、収集されたデータがあった場合、ユーザーはそのデータの削除を要求できないとも述べています。

しかし、Google Playストアの主張とは裏腹に、これら2つのモバイルアプリは以下の敏感なユーザーデータを収集し、中国に主に位置する複数のサーバーに送信していることが判明しました：

• デバイス自体のユーザーの連絡先リスト、接続されたメールアカウント、ソーシャルネットワーク

• アプリケーション内に編纂された画像、音声、動画コンテンツ

• ユーザーのリアルタイム位置情報

• モバイル国コード

• ネットワークプロバイダー名

• SIMプロバイダーのネットワークコード

• オペレーティングシステムのバージョン番号

• デバイスのブランドとモデル

特に懸念されるのは、各アプリケーションが収集したデータの送信を100回以上行っていたことであり、これは悪意のある活動にとって重要な量です。

成功を高めるために、これらのスパイウェアアプリの開発者は、より信頼性が高く性能が良いように見せるための巧妙な手法を使用し、それらを見つけてアンインストールするのを難しくしました。

「両方のスパイウェアは大きなユーザー人口を示していますが、レビューはありません。ハッカーはインストールファームやモバイルデバイスエミュレーターを使用してこれらの数字を偽造し、その結果、アプリケーションがストアのカテゴリリストでより良い評価を得て、見かけ上の正当性を高めたと考えています」と、スパイウェアを発見したプラデオの研究者ロクサーヌ・スアウはブログ投稿で述べています。

さらに、両方のアプリは、デバイスを再起動し、その後自動的に自分自身を起動および実行することを許可する高度な権限を持っていることも判明し、ユーザーの操作なしにアイコンをホーム画面から隠すことができるため、無防備なユーザーがアンインストールするのを難しくしています。

プラデオは、ブログ投稿を公開する前にGoogleに発見を通知しました。執筆時点で、両方のスパイウェアアプリはGoogle Playストアから削除されています。

「これらのアプリはGoogle Playから削除されました。Google Play Protectは、Google Playサービスを使用しているAndroidデバイス上のこのマルウェアを含むことが知られているアプリからユーザーを保護します。これらのアプリがPlay以外の他のソースから来た場合でもです」と、GoogleはBleepingComputerに対して声明を発表しました。

上記のアプリがデバイスにインストールされている場合は、直ちにそれらを見つけて削除することをお勧めします。さらに、以下のヒントに従って自分自身を安全に保つことができます：

• デバイスで最新のAndroidバージョンを実行していることを確認してください。

• 数千人のユーザーがいるにもかかわらずレビューがないアプリはダウンロードしないでください。

• レビューがある場合は、それを読んでアプリの正当性を理解してください。

• 権限を受け入れる前に、常に注意深く読んでください。

• もはや必要のないアプリはデバイスからアンインストールしてください。

• 必要以上の権限を要求するアプリには注意してください。悪意があるかもしれません。

• 信頼できる開発者が公開したソフトウェアのみをダウンロードしてください。