マカフィー株式会社は、ユーザーの確認が行われないまま、Google Playからアプリを自動インストールされてしまう国内ユーザー向けアプリをGoogle Playで確認したと発表しました。
現在はGoogle Playから削除されていますが、自動インストール処理があるアプリは悪意ある開発者に悪用されると恐ろしい結果を招くとして、そのアプリが本当に信頼に値するものかどうか慎重に再確認すべきだ、としています。
ユーザーが自身でGoogle Playから手動でアプリをインストールする通常の手順と異なり、この自動インストールでは、アプリの説明や権限要求の確認と許可・拒否がありません。インストールが完了すると、自動的に起動します。
このアプリは、外部サーバーによって指定された10個以上のアプリ一覧の中から、最低5個のアプリをインストールすることと引き換えに、ユーザーがアダルト動画を視聴できるよう実装されています。
ユーザーが動画ダウンロードを試みると、端末上のGoogleアカウント情報を取得し、そのアカウントを用いてGoogleサービスへアクセスする権限をユーザーに要求します。権限取得によって、アプリはユーザーのGoogleアカウント経由でGoogle Playストアを含む種々のGoogleサービスへのアクセスを許可されることになります。
検証時には、アプリ一覧にはマルウェアや不審なアプリは含まれていませんでしたが、外部サーバー側での変更によりマルウェアや不審なアプリを混入させるという可能性も否定できないとしています。なお、このアプリは既にGoogle Playから削除されています。
ユーザーがアプリに対し「端末でアカウントを検索」(GET_ACCOUNTS)と「端末上のアカウントを使用」(USE_CREDENTIALS)という権限を許可すると、Googleアカウントに関する大きな権限をアプリに与えるます。マカフィーは、このような自動インストール処理があるアプリは、開発者に悪用されると恐ろしい結果を招くことは明らかだと指摘しています。
これらの権限を要求されたり、実行時にGoogleアカウントに関する権限が要求されたりした際は、そのアプリが本当に信頼に値するものか非常に慎重に再確認すべきと注意を呼びかけています。なお、McAfee Mobile Securityでは、この潜在的に危険なアプリを「Android/BadInst.A」として検出しています。
・マカフィー株式会社 | McAfee Blog -Google Playからアプリ自動インストールを行う危険な国内向けAndroidアプリ