偽スマホアプリを見抜く7つのテクニック

ESETは2023年6月6日(現地時間)、「7 tips for spotting a fake mobile app｜WeLiveSecurity」において、偽のモバイルアプリを見つける方法を伝えた。インストール前にチェックする7つの方法とインストールされているアプリをチェックする7つの方法が紹介されている。

7 tips for spotting a fake mobile app｜WeLiveSecurity

ESETが紹介した偽のアプリを識別する方法は次のとおり。

ダウンロード数を確認する。数億人のユーザーがいてもおかしくないアプリを探しているときに、本物のように見えるがダウンロード数がさほど多くないアプリに出会うことがある。そのアプリは偽のアプリである可能性が高い。最近の例では、OpenAIがChatGPTの公式アプリをリリースする前にChatGPTアプリで出回っていたが、これらは偽のアプリだった
レビューを読む。評価が低い場合は避けた方がよい。また、同じような内容のレビューが大量に投稿されている場合も注意する必要がある。何百万ダウンロードに達していないアプリでこうしたレビューがある場合、多くは偽のレビューやボットによる投稿の可能性がある
アイコンなどのビジュアルをよく確認する。偽アプリの多くは正当なアプリを模倣していることが多い(必ずしも同一とは限らない点にも注意が必要)。また、確認に使ったWebサイトと同じアイコンだったからといって安心することにもリスクがある。サイバー犯罪者は偽のWebサイトを用意していることがあるため、Webサイトを確認に使うときはそのURLも含めてよく確認する必要がある
公式アプリについて再確認する。ESETはサイバー犯罪者はGoogle Playストアで利用可能なアプリさえ持っていないオンラインストアや銀行向けアプリが配布されていたことを確認している。公式がアプリを提供していることを確認し、公式からストアへジャンプする
アプリの名称と説明をよく確認する。アプリの開発者はアプリの開発に多大な労力を払っており、その説明文も注意深く作成されている。掲載されている説明文の文法が不十分であるとか、一貫性のない内容になっている場合、偽のアプリの可能性がある
開発者を確認する。アプリ開発の実績がない開発者の扱うアプリには注意する。偽アプリを使う犯罪者は有名なエンティティの名前を悪用することがあり、そういった名前にも注意する
権限要求に注意する。動作するために実際に必要のない権限を必要とするアプリは使わない。例えば、懐中電灯アプリは管理者権限もコアデバイス機能へのアクセス権も必要としない

偽のアプリがインストールされていないかどうかを確認する次の方法も取り上げられている。

アプリが機能していない
起動、終了、意味なく失敗するなど振る舞いがおかしい
予期せぬ請求が発生した
奇妙なメッセージと通話の履歴がある
バッテリーの消耗が早くなった
通信データ量が急増した
ランダムな広告ポップアップや記憶にないアプリがインストールされている

ESETは「ESET Threat Report T3 2022」において、2022年の最後の数カ月でAndroidの脅威の数が57%急増したことを伝えている。また、同時期にはアドウェアも163%という驚異的な増加を見せている。スマートフォンやタブレットデバイスにおける偽アプリの問題は日に日に大きくなっている。こうしたリスクが常に存在していることを認識するとともに、アプリの選択とインストールを注意深く行うことが望まれている。