マカフィーは2014年3月4日、アダルト動画と引き換えに、別のアプリをインストールする危険なAndroidアプリが見つかったとして注意を呼びかけた。別のアプリがインストールされる際に、それらの内容をユーザーが確認できないようにしていることが特徴。同じ手口がウイルス(マルウエア)配布などに悪用される恐れがある。
今回確認されたのは、アダルト動画を無料でダウンロードできるとするAndroidアプリ(画面1)。Google Playで配布されていたが、3月4日時点では削除されている。アプリは日本語で、国内ユーザーを対象にしている。
このアプリを起動してアダルト動画を視聴しようとすると、このアプリはGoogleアカウントの「SID」「LSID」という2つの権限が要求される(画面2)。これが、このアプリの特徴であり、危険な点である。これらの権限を一度許可してしまうと、以降はユーザーに許可を求めることなく、別のアプリが自動的にインストールされてしまう。
具体的には、今回のアプリは次のように動作する。SIDとLSIDの権限が許可されると、無料の“おすすめアプリ”10種類を表示し、そのうちの5種類をインストールするようユーザーに求める。ユーザーが5種類を選択して「OK」ボタンを押すと、Google Playからダウンロードしてインストールする。
このとき、通常のインストール手順とは異なり、アプリの説明画面やアクセス権限を要求する画面は表示されない。つまり、ウイルスなどを勝手にインストールされる危険性がある。こういったことが可能なのは、前述のように、アプリがSIDとLSIDという権限を許可されているためだ。
今回のアプリがインストールするのは正規の無料アプリだけで、アダルト動画も視聴できたもよう。マカフィーでは、アプリをインストールさせると報酬が支払われるアフィリエイトが目的だったと推測している。
同社が懸念するのは、今回の手口の悪用である。別のアプリがインストールされる際に、その内容や要求する権限を確認できないため、ウイルス配布に悪用される危険性がある。
今回のような手口による被害に遭わないためには、アプリに対して権限を安易に許可しないことが重要だという。例えば、「端末でアカウントを検索」や「端末上のアカウントを使用」といった権限を求めるアプリは要注意だという(画面3)。また、実行時にGoogleアカウントに関わる権限(今回のアプリではSIDとLSID)を求めるアプリについても、慎重に確認すべきとしている。
[発表資料へ]
