マルウェアはどのような権限を要求するのか?

Androidアプリケーションをインストールする際に大量の権限を要求されると怪しいアプリではないかと警戒するものですが、実際のところ世に出回っているマルウェアはどのような権限を要求してくるのでしょうか。
以下の表は実際のマルウェアが要求してくる権限をまとめたものです。

全てのマルウェアファミリを網羅すると膨大な数になる為いくつか抽出しています。

これを見ると大量の権限を要求してくるものから少ないものまで様々です。

この中で特に注目していただきたいのは赤で示しているマルウェアです。赤で示しているのは日本をターゲットにしたマルウェアになります。ご覧のとおり一般のアプリケーションと同様せいぜい5つ程度の権限しか要求されません。
このことから権限の数だけで判断するのは困難であることはお分かりいただけると思います。

では他に特徴はあるでしょうか。
INTERNET(インターネット接続)は全てのアプリに入っていますね。ただ、作り方によってはINTERNETの権限を使わずに別の権限を用いて同様の仕組みを実現することも可能ですので、この権限がないからと言って100%安全であることを保証するものではありません。
また、日本をターゲットにしたマルウェアは今のところそのほとんどがアドレス帳データの搾取にあるのでREAD_CONTACT(アドレス帳を読み取る権限)がついています。AckpostがINTERNETとREAD_CONTACTの2つの権限しか要求していないことからわかるように、アドレス帳の情報を抜き取るにはこの2つの権限があれば十分ということになります。

一方でFaceDocあたりは大量の権限を要求してきます。
端末のあらゆる情報を手当たりしだい搾取したりリモートで端末を操作したりするタイプのマルウェアは大量の権限を要求するケースがあります。

このように、マルウェアは収集する情報や目的によって権限が大きく変わりますので、権限の数が多いものや特定の権限をもったアプリがマルウェアであると判定するのは難しいと言えます。

大量に権限を要求するアプリケーションに注目が集まりすぎて上記のような少ない権限で目的の情報にポイントを絞ったマルウェアが見過ごされてしまう懸念を覚え今回このようなエントリを書きました。
アプリケーションが要求する権限はその組み合わせがポイントです。
tSpyCheckerのような権限の組み合わせを考慮した権限チェッカを用いたり、他の情報(開発者の提供する情報や、他のアプリ利用者の感想等)を含めて多角的に判断することが肝要です。