Android向けアプリストア「Google Play」で、他人の通話履歴やSMS履歴を確認できるとうたう偽アプリが大量に配信されていたことが明らかになりました。これらのアプリは実際には機能せず、ユーザーから料金だけを騙し取る詐欺的な内容だったとされています。
「どんな番号でも通話履歴を確認可能」と宣伝
今回問題となったのは、セキュリティ企業ESETの研究者らが「CallPhantom」と呼称している一連のAndroidアプリです。
確認されたアプリは合計28本にのぼり、いずれも「任意の電話番号の通話履歴を確認できる」「SMS履歴を取得できる」といった内容を宣伝していました。
特に、恋人の浮気を疑っている人や、元交際相手の行動を知りたい人など、不安や好奇心につけ込むような形で利用者を誘導していたとみられています。
実際には架空データを表示していただけ
これらのアプリは、機能を利用するために課金を要求します。しかし実際に料金を支払っても、本物の通話履歴が表示されることはなかったとのことです。
研究者らがアプリ内部を解析したところ、実際にはランダムな電話番号や人物名を生成し、あたかもデータ取得に成功しているよう見せかけていただけだったとされています。
利用者側から見ると、一見もっともらしい情報が表示されるため、詐欺だと気付きにくかった可能性があります。
被害規模は730万ダウンロード超
ESETによれば、これらのアプリは合計で730万回以上ダウンロードされていたとのことです。
すでにGoogleによってGoogle Playから削除されたとみられていますが、それだけ多くのユーザーが影響を受けた可能性があります。
一方で、今回のアプリ群は連絡先やSMS、ストレージなどの危険な権限を要求していなかったとされており、個人情報やクレジットカード情報を盗み出すタイプのマルウェアではなかったようです。
あくまで「偽サービスによる課金詐欺」に近いケースと見られています。
Google経由なら返金対象の可能性も
一部のアプリでは、Google Play公式の課金システムが利用されていたとのことです。この場合、Googleの返金制度を利用できる可能性があります。
ただし、中には外部の決済サービスを利用していたアプリも確認されており、そのケースでは事情が少し複雑になります。
研究者によると、こうしたアプリでは決済先情報がFirebase経由で動的に変更される仕組みも確認されており、運営側が支払い先を随時切り替えられる状態だったとされています。
もし外部決済を利用してしまった場合は、銀行やカード会社、決済サービス事業者への連絡が推奨されます。状況によってはカード停止や再発行が必要になる可能性もあります。
「Google Playだから安全」とは限らない時代に
通常、この種の詐欺アプリは外部サイト経由のAPK配布で見つかるケースが多いものの、今回は公式ストア内で大規模に展開されていた点が大きな特徴です。
Google Playに掲載されているからといって、必ずしも安全とは限らないことを改めて示した事例と言えそうです。特に「他人の情報を取得できる」といった不自然な機能をうたうアプリには、今後も注意が必要です。
