2019年07月05日 15時00分 セキュリティ

1000万人以上がSamsungを装う詐欺アプリ「Updates For Samsung(サムスン用アップデート)」に引っかかっていることが判明



「Updates For Samsung」という名前のAndroidアプリが実はSamsung公式でもなんでもない「詐欺アプリ」だとしてサイバーセキュリティ企業のCSISが注意を喚起しています。このアプリのダウンロードユーザー数は、記事作成時点で1000万人を超えています。



“Updates for Samsung” — from a blog to an Android advertisement revenue goldmine of 10,000,000+…

https://medium.com/csis-techblog/updates-for-samsung-from-a-blog-to-an-android-advertisement-revenue-goldmine-of-10-000-000-166585e34ad0



Fake Samsung firmware update app tricks more than 10 million Android users | ZDNet

https://www.zdnet.com/article/fake-samsung-firmware-update-app-tricks-more-than-10-million-android-users/



問題のアプリ「Updates for Samsung - Android Update Versions」はGoogleプレイ上で誰でもダウンロードが可能な状態です。アイコンにはAndroidのマスコットキャラクター「ドロイド君(正式名称Bugdroid)」が使用されており、Androidの公式アプリに見えます。





インストール数は1000万人を越え、レビューの評価は星5が一番多くなっています。





しかし、サイバーセキュリティ企業CSISによると、このアプリケーションはSamsungのスマートフォンのアップデートアップデートアプリを装っていますが、Samsungとは全く関係のないものとのこと。このアプリからファームウェアをダウンロードすると、無料プランではダウンロード速度が56kb/sに制限されるそうです。





700MBほどの容量のファームウェアをこの速度でダウンロードすると、3時間以上もかかる計算です。さらにこのアプリの無料プランのダウンロード機能では、ほとんどの場合ダウンロードは失敗するようになっているとのこと。ファームウェアのダウンロードを確実に行うには年額34.99ドルの(約3800円)の有料プランに加入する必要があります。





有料プランの加入はGoogleが保証するGoogle Playの支払いシステムを通さずに、「独自のシステム」で支払いを行います。この独自のシステムを使うと、HTTPS経由で開発会社にクレジットカード情報が送信されます。





しかし、そもそも公式ファームウェアは、設定画面から「システム」を開き「詳細設定」の中の「システムアップデート」をタップすることで、Googleに保証されたバージョンを無料でダウンロード＆インストールが可能なため、問題の「Updates for Samsung」を活用する必要はないわけです。





また、このアプリケーションには19.99ドル(約2200円)を支払うとSIMロックを解除する機能もありますが、CSISによると「実際に動作するかは未検証」とのことです。





「Updates For Samsung」のSIMロック解除機能を使用するには、IMEI(端末識別番号)や使用しているSIMカードの契約会社、メールアドレスなどを入力する必要があります。





CSISはこのアプリについて、「Samsungの公式アップデートを装ってお金を巻き上げている『詐欺アプリ』です」と警告を発表。このアプリにはマルウェアの機能はないそうですが、起動中は画面をタップするとフルスクリーンで広告が表示されるようになるとのことです。





このアプリのダウンロード数が1000万人を越えていることについてCSISは「Google Playで『update』と検索すると出てくることが原因」と指摘しています。





CSISは「ベンダーがAndroid OSに多数のソフトウェアをバンドルしていることがユーザーの混乱を招いている」と非難し、このアプリをGoogle Playから削除するようGoogleに呼びかけているそうです。

