悪意のあるアプリケーションはどのようにして Google Play ストアに侵入するのでしょうか?

モバイルアプリケーションをダウンロードする場合、専門家は公式ストアからダウンロードすることを推奨しています。言い換えれば、サードパーティのプラットフォームを避けてください。ただし、 Google Play 上のマルウェアは一般的です。少なくとも机上では保証を約束している巨大企業が支援する環境に、悪意のあるプログラムはどのようにして侵入するのでしょうか?

カスペルスキーの最近のレポートでは、2023 年のこれまでに6 億以上の悪意のあるツールが公式 Android ストアからダウンロードされたことが明らかになりました。サイバーセキュリティを専門とする同社によると、 Googleのような超強力なテクノロジー企業でも有害なプログラムを阻止することはできないという。彼らは、ユーザーをスパイし、機密データを盗み、不要な広告で侵入するなど、有害な行為を行います。

「ユーザーは、公式ストアはアプリケーションを安全にインストールでき（…）、それらはモデレータによって慎重に検査されていると考える傾向がある」と彼らはレポートで指摘している。 「ただし、そこには 300 万を超える独自のツールがあり、それらを徹底的にレビューすることは、世界最大手の企業の 1 つであってもリソースを超えていることに留意してください。」と彼らは付け加えています。

Kaspersky のアラートをきっかけとして、 ニューロストリームは専門家や Android 担当者と話し合い、ハッカーがどのようにしてセキュリティ障壁を回避し、マルウェアをフィルタリングして Google Play に送り込むかを理解しました。さらに、悪意のあるプログラムに関連するリスクから可能な限り安全になるように、一連のキーをレビューします。

ハッカーがマルウェアを公式ストアに忍び込ませるために使用する 7 つの戦略

「Google Play マルウェアは 2023 年に 6 億件以上のダウンロードを登録」と題したカスペルスキーのレポートでは、公式ストアのセキュリティ対策を回避するサイバー犯罪者の戦略の一部が検証されています。以下は最も注目すべきものの一部です。

事後的に追加される悪意のある機能: 著作権侵害手法は、無害なアプリケーションを起動し、ストアに存在した後に有害な機能を追加することで構成されます。この時点で、不審なアクティビティもなく 2021 年 9 月にデビューした Android 用ツールであるiRecorderのケースが引用されています。しかし翌年には、同意なしに録音の水門を開くトロイの木馬を追加しました。 「研究者がこれを発見したとき、このツールは 50,000 回以上ダウンロードされていました」と報告書には記載されています。

同じアプリケーションが異なる開発者によって提供されている: Google Play でマルウェアを含むアプリをフィルタリングするもう 1 つの一般的な方法は、多数のアカウントを作成し、そこから感染したプログラムが提供されることです。したがって、ストアのモデレーターが攻撃を拡散するプロファイルの 1 つを発見しても、残りはアクティブなままになります。

かくれんぼをするアプリケーション: もう 1 つの一般的なサイバー犯罪戦術はステルスです。多くの悪意のあるツールは、ユーザーが簡単にアンインストールできないようにするために、携帯電話上でアイコンを隠します。今年の半ばに、このような動作をする数百万ダウンロードのアプリが発見されました。彼らは何をしていたのですか？彼らは被害者の情報を中国のサーバーに送信しました。

有名な感染したプログラムのクローン: Google Play 上のマルウェアは、認知されている通常は有料のプログラムの名声を利用して、無料アクセス バージョンを提供するアプリケーションによってもフィルタリングされます。今年検出された悪名高い事件は、成功したMinecraftと同様の体験を提供するアプリの事件です。公式 Android ストアでは 38 の亜種が見つかり、累計 3,500 万ダウンロードがあり、迷惑な HiddenAdsアドウェアが含まれていました。スーパーマリオ3でも似たようなことが起こりました。その結果は？ユーザーの許可なしに携帯電話に侵入する広告。要約すると、この戦略は、脅威の多かれ少なかれ、よく知られた望ましい製品の名声を利用して侵入を実行することで構成されています。

過剰な権限: 目的を達成するために、有害なツールの多くがバックグラウンドで動作します。このようにして、ユーザーの視線や救助活動の可能性を避けて隠れることもできます。このため、インストール後に通常とは異なる権限が要求されることがよくあります。特別なアクセスから、機密デバイスの機能へのアクセスを承認するリストへの追加まで。

評判は良いが偽物: 詐欺師のもう 1 つの手口は、本物ではないレビューの公開です。これに関して、ハッカー ニュースサイトは次のように述べています。「ハッカーはアプリケーションのダウンロード数を人為的に増加させます。これは、インストール ファームまたはモバイル デバイス エミュレーターを使用して行われます。したがって、彼らは誤った信頼感を生み出します。」

開発者も騙される: 4 月、研究者らは、Google Play でマルウェアを含む 60 のアプリケーションを発見しました。これらのアプリケーションも、累積ダウンロード数が 1 億件を超える侵略的な広告による詐欺の原動力となっています。このケースの特徴は、Glodosonアドウェアが多くの正当なツール作成者によって組み込まれており、破損したライブラリを使用していることです。 「彼らは、その機能に悪意のある行為が含まれていることを単に知らなかっただけです」とカスペルスキーは言う。 「多くの場合、海賊版は公式ストアでは公開せず、代わりに他のクリエイターのアプリの公式プラットフォームに掲載されるプログラムを作成します。」これと同じ戦略が、今年も Android 上で 4 億 8,000 万インストールを超える、約 200 の感染ツールで発見されました。

Google Play 上のマルウェア: 公式の答え

私たちは Google の代理人に連絡を取り、カスペルスキーのレポートに関する見解を共有しました。コメントはニュースレターや公式発表の典型的なトーンを超えるものではありませんでした。 「Google Play にはマルウェアに対するゼロトレランス ポリシーがあります。アプリケーションが当社のポリシーに違反していることが判明した場合、当社はそれを解決するために適切な措置を講じます」と彼らは述べています。

以下は、Google Play 上のマルウェアに関する公式声明です。

• 最近、ユーザーが安全で信頼できるエクスペリエンスを確実に享受できるようにする、より包括的なアプリのレビュー プロセスを発表しました。 Google Play で人々の安全を守るために、デベロッパー ポリシーと要件は常に進化しています。
• 2022 年には、ポリシーに違反する 143 万個のアプリの公開を阻止しました。同時に、悪意のある開発者や詐欺ネットワークと闘い、173,000 の詐欺アカウントを禁止しました。私たちは 20 億ドルを超える詐欺的かつ不正な取引を阻止しました。
• Android には多層セキュリティ保護が備わっています (…) ユーザーは、Android デバイス上で悪意のある動作を示すことが知られているアプリケーションを警告したりブロックしたりできるツールである Google Play プロテクトによって保護されています。 Google Play プロテクトは、他の対策とも連携して機能します。たとえば、メッセージや Gmail でのスパムやフィッシングからの保護は、Android 上の個人データの保護に役立ちます。
• これらは、セキュリティ機能を継続的に開発し、ポリシーを改善するための取り組みの一部にすぎません。これは、機械学習システムとアプリケーションのレビュー プロセスへの継続的な投資と組み合わせて行われます。
• Google では、人々が管理できるように、そして最も重要なことに、情報に基づいた意思決定ができ​​るように、使いやすいプライバシーとセキュリティの設定を作成しています。たとえば、昨年 Play では「データ セキュリティ」セクションを立ち上げました。ユーザーはそこで、開発者がさまざまな種類のデータがどのように収集、共有、処理されるかを説明する各アプリに関する情報を見つけることができます。各アプリケーションのプロフィールで「詳細を見る」を選択するだけです。

とはいえ、これらの対策を講じているにもかかわらず、なぜ Google Play にマルウェアが存在するのでしょうか?同社の対応はニュースレターの内容からは逸脱していない。 「私たちは何十億もの Android ユーザーに安全なプラットフォームを提供することに尽力しています。また、すべての開発者は、当社の開発者プログラム ポリシーの対象となります。違反が証明された場合、アプリは削除され、開発者はストアから追放される可能性があります。さらに、アプリがポリシーに違反している場合は、誰でもアプリを報告できます。これは、サポート サイトにアクセスすることで実現できます」と彼らはこの出版物との対話で述べています。

サイドローディングとGoogleの矛盾

公式ストア以外でアプリケーションをダウンロードできることは、Android を iOS と区別する多くの側面の 1 つです。サイドローディングは、この慣行として知られているように、リスクをもたらします。 Google は自社のオペレーティング システムでそれを許可していますが、同社 CEO のサンダー ピチャイ氏は最近、それらの危険性を認識しました。

「マルウェアをインストールする可能性があるため、ユーザーがサイドローディング(…) で携帯電話を完全に危険にさらされることは望ましくありません。 News18サイトによると、これは非常に重大な意味でセキュリティを侵害する可能性がある」とピチャイ氏は現在米国で行われているGoogleに対する裁判中に述べたという。ただし、これまで見てきたように、Google Play は安全な領域であるにもかかわらず、マルウェアも存在します。

Hipertextualとの対話の中で、アプリケーション開発者のJuan Irungaray氏は、公式ストアで提供される悪意のある行為の多くは正規のアプリケーションから実行されるという問題を指摘しています。 「これらのパターンを自動的に見つけることはほとんど不可能です。これが歴史と評判の高いアプリケーションに表示される場合は、なおさらです」と、Google 関連テクノロジーの促進とトレーニングに重点を置いた NGO である Google Tech User Groups のアルゼンチン創設者である専門家は説明します。

Googleのモデレーション慣行について、彼はこう言う。 「彼らはアップロードされる各アプリケーションのバージョンに自動チェックを適用しますが、典型的なマルウェアのリスク、アクセスすべきではないリソースへのアクセス、または危険なソースからのコードを探します。しかし、コードからアプリがどのように使用されるかを知ることはできません」と彼は締めくくりました。

いずれにせよ、公式ストアからアプリケーションをダウンロードする利便性は依然として有効です。ピチャイ氏の発言のずっと前に、Apple CEO のティム・クック氏は、『Fortnite: Battle Royale』プレイヤーはすでに知っているように、iOS ではサイドローディングが禁止されていると述べました。ただし、ヨーロッパではこれがすぐに変わる可能性があります。これは「自動車メーカーがシートベルトとエアバッグを装着しない場合」のようなものです。

Google Play 上のマルウェアから身を守る方法

カスペルスキーは、感染したアプリの Android ストアでの合計ダウンロード数が 5 億を超えていると指摘し、主張して​​いる。これに加えて、公式プラットフォームが「引き続き、これまでのところ最も安全な情報源である」と同氏は指摘する。それでも、いくつかの予防策を講じる必要があります。

• 開発者の評判を確認してください。 Google Playのプロフィール以外に公式ページがあるかどうかを確認することをお勧めします。
• これまで見てきたように、ツールには改ざんが含まれていることが多いため、ツールの一般的な評価に惑わされないでください。
• したがって、否定的なレビューに焦点を当てることをお勧めします。そのためには、あまりお世辞のないものから注文することをお勧めします。
• デバイスに保護機能を備えておくと常に便利です。多くの場合、プログラムにリスクがある場合に警告が表示されます。

結局のところ、 Google Play 上で、そしてあらゆるコンピューティング環境上でマルウェアを回避するには、常識と情報の入手可能性という 2 つの重要な鍵があります。何度も言われてきたように、教育を受けたユーザーは常に捕まえるのが難しい獲物です。