Google Play/Apple Store のアドウェア:巧妙に振る舞い 1,300万回インストールに到達

Adware on Google Play and Apple Store installed 13 million times

2022/09/26 BleepingComputer — 広告詐欺を調査しているセキュリティ研究者たちは、Google Play で 75 件のアプリが、Apple App Store で 10件のアプリが、関与していることを発見した。これらのアプリは、合計で 1300万回もインストールされていた。インストールされた不正アプリは、ユーザーを広告で埋め尽くすだけではなく、正規のアプリやインプレッションになりすまして収益も得ていた。この種のアプリは深刻な脅威とは見なされていないが、そのオペレーターは、より危険な行為での悪用へと転換することも可能だ。  

HUMAN の Satori Threat Intelligence チームの研究者たちは、Scylla と名付けた新しい広告詐欺キャンペーンを構成するアプリ群を特定した。2019年8月の Poseidon と、2020年末に最高潮に達した Charybdis に続く、第3波の攻撃が Scylla であり、明らかに同一の脅威アクターによるものだろうと、アナリストたちは捉えている。

広告詐欺アプリ

Satori チームは Google/Apple に調査結果を報告し、広告詐欺アプリは公式の Android/iOS ストアから削除された。

Android 端末の場合、Play Protect のセキュリティ・オプションを無効にしていない限り、アプリは自動的に検出される。

iOS の場合、すでにデバイスにインストールされているアドウェアを削除する方法について、Apple は明確にしていない。すでにデバイスにインストールされている場合には、それをユーザー自身で削除することを、Human は推奨している。

最も多くダウンロードされているアプリの一覧は以下の通り:

iOS app list:

  • Loot the Castle – com.loot.rcastle.fight.battle (id1602634568)
  • Run Bridge – com.run.bridge.race (id1584737005)
  • Shinning Gun – com.shinning.gun.ios (id1588037078)
  • Racing Legend 3D – com.racing.legend.like (id1589579456)
  • Rope Runner – com.rope.runner.family (id1614987707)
  • Wood Sculptor – com.wood.sculptor.cutter (id1603211466)
  • Fire-Wall – com.fire.wall.poptit (id1540542924)
  • Ninja Critical Hit – wger.ninjacriticalhit.ios (id1514055403)
  • Tony Runs – com.TonyRuns.game

Android app list (1+ million downloads)

  • Super Hero-Save the world! – com.asuper.man.playmilk
  • Spot 10 Differences – com.different.ten.spotgames
  • Find 5 Differences – com.find.five.subtle.differences.spot.new
  • Dinosaur Legend – com.huluwagames.dinosaur.legend.play
  • One Line Drawing – com.one.line.drawing.stroke.yuxi
  • Shoot Master – com.shooter.master.bullet.puzzle.huahong
  • Talent Trap – NEW – com.talent.trap.stop.all

Scylla が配布した広告詐欺アプリの全リストは、HUMAN のレポートに掲載されている。

マルウェアの詳細

通常、Scylla のアプリは、出版物の名前と一致しないバンドル ID を使用している。そして、広告主からは、広告のクリック/インプレッションが、より収益性の高いソフトウェア・カテゴリに属するように見える仕組みになっている。

HUMAN の研究者たちは、29件 の Scylla アプリが最大 6,000の CTV ベースのアプリを模倣しており、不正検出を回避するために、定期的に ID を循環させていることを発見した。

C2 response with designated ID to be used by the app
ID 偽装の指示を受けた C2 response (HUMAN)

Android の場合は、広告は隠された WebView ウィンドウに読み込まれるため、被害者が不審な点に気付くことはなく、すべてバック・グラウンドで実行される。

UI elements identifying the location of webviews for ads
広告の WebView の位置を特定する UI 要素 (HUMAN)
Generating a fake click on the invisible advertisement
見えない広告の偽クリックを発生させる (HUMAN)

このアドウェアは、さらに JobScheduler システムを使用して、被害者がデバイスをアクティブに使用していないときにも対応している。たとえば、画面がオフのときであっても、広告インプレッション・イベントをトリガーさせることができる。

JobScheduler code
JobScheduler コード (HUMAN)

不正の兆候はログに登録されとため、ネットワークのパケット・キャプチャで確認することが可能だが、一般的なユーザーが、それらを精査することはない。

Ad traffic in network logs
ネットワーク・ログの広告トラフィック (HUMAN)

最初のキャンペーンである Poseidon と比較して、今回の攻撃における Scylla のアプリ群は、Allatori Java obfuscator を使用したコード難読化のレイヤーを追加している。これにより、研究者たちによる検出/リバース・エンジニアリングが、以前と比較して困難になっている。

ユーザーが監視できる項目としては、バッテリーの急激な消耗/インターネット・データの使用量の増加/インストールした覚えのないアプリなどがあり、それらの兆候から、悪意のアプリ/不要なアプリをチェックできる。また、インストールされているアプリのリストを確認し、インストールした覚えのないアプリや、見知らぬベンダーのアプリを削除することも推奨される。

Android と iOS を狙うアドウェアが後を絶ちません。冒頭で、「この種のアプリは深刻な脅威とは見なされていないが、そのオペレーターは、より危険な行為での悪用へと転換することも可能だ」と指摘されているように、この種のアドウェアを軽視してはいけませんね。よろしければ、Google Play で検索と、Apple App Store で検索を、ご参照ください。

%d bloggers like this: