Android アドウェア 60,000 件を発見:Google Play 以外からのインストールは危険だ!

Over 60,000 Android apps secretly installed adware for past six months

2023/06/06 BleepingComputer — これまでの6ヶ月間において、正規のアプリケーションを装う 60,000 件以上の Android アプリが検出を回避して、モバイル端末にアドウェアをインストールしていたことが判明した。この発見は、ルーマニアのサイバー・セキュリティ企業 Bitdefender によるものだ。先月に同社は、Bitdefender Mobile Security ソフトウェアに追加された異常検知機能を用いて、それらの悪意のアプリを検出したという。


Bitdefender は、「現在までに、アドウェアを搭載した、まったく別種のサンプル (ユニークなアプリ) を 60,000 件も発見している。より多くの悪意のアプリが、野放し状態で存在していると思われる」と警告している。

このキャンペーンは、2022年10月に開始されたと考えられている。その配布に用いられたのは、サードパーティ・サイトを介した、偽のセキュリティ・ソフトウェア/ゲームのクラックとチート/VPN ソフトウェア/Netflix アプリ/ユーティリティ・アプリなどである。

このマルウェア。キャンペーンでは、米国のユーザーが主要ターゲットにされ、それに続くのが、韓国/ブラジル/ドイツ/英国/フランスなどの国々である。

Geographic distribution of Android malware campaign
Geographic distribution of Android malware campaign
Source: Bitdefender
検出を回避する静かなインストール

それらの悪意のアプリをホストするのは、Google Play ではなく、APK (モバイルアプリを手動でインストールする Android パッケージ) をプッシュする、Google 検索内のサードパーティ Web サイトである。

こうした悪意のサイトにアクセスすると、広告を表示する Web サイトにリダイレクトされることもあり、検索されたアプリをダウンロードするよう促されることもある。一連のダウンロード・サイトは、悪意の Android アプリを APK として配布するために作成されており、それらをインストールすると Android デバイスがアドウェアに感染する仕組みになっている。

それらのアプリのインストール時には、追加の権限が必要となるため、自動的に実行されるようにはコンフィグレーションされていない。その 代わりに、通常の Android アプリのインストール・フローに依存しり、インストール後にアプリを「開く」よう、ユーザーは求められる。

さらに、それらの悪意のアプリはアイコンを利用せず、アプリのラベルに UTF- 8文字を使用するため、発見が難しくなっている。したがって、インストール後にユーザーがアプリを起動しない場合には、その後も起動されない可能性が高いことになる。

そして起動された場合だが、”Application is unavailable in your region” というエラー・メッセージが表示され、”Tap OK to uninstall” でアンインストールされる。

しかし実際には、そのアプリはアンインストールされず、2時間ほどスリープした後に、デバイスの起動時またはデバイスのロック解除時にアプリを起動させる、2つの “intent” を登録することになる。

Bitdefender によると、後者の “intent” は、最初の2日間は無効化されているという。その目的は、ユーザーによる検出を回避するためと思われる。

Registering Android intents that start the malicious app
Registering Android intents that start the malicious app
Source: Bitdefender

起動後のアプリは、攻撃者のサーバにアクセスし、広告 URL を取得する。そして、モバイル・ブラウザへの表示や、フルスクリーンの WebView 広告表示などを行うことになる。

現時点において、それらの悪意のアプリは、広告の表示にのみ使用されている。しかし、研究者たちは、アドウェアの URL を、より悪質な Web サイトへと、簡単にすり替えることが可能だと警告している。

Bitdefender は、「今回の分析において、このキャンペーンは、広告収益を上げることを目的として、Android デバイスにアドウェアを積極的に押し付けていることが判明した。しかし、関与している脅威アクターは、簡単に戦術を切り替えて、認証情報や財務情報を盗むためのバンキング型トロイの木馬や、ランサムウェアなどのマルウェアへと、ユーザーをリダイレクトすることが可能だ」と、警告している。

Google Play 以外のストアは、マルウェアの検査が不十分である。そこでも、Android 端末へのアプリのインストールは可能であるため、マルウェア開発者にとって格好のターゲット になっている。

しかし、最近の脅威アクターたちは、Google Play 上でも検知を回避し、悪意のアプリを広範に配布している。

先週のことだが、Dr.Web と CloudSEK の研究者たちは、Google Play 上のアプリから Android 端末に4億回以上もインストールされた、悪質なスパイウェア SDK を発見している。

Google Play にも、悪意のアプリは存在しているが、そこから Android アプリをインストールする方が遥かに安全である。また、サードパーティ・サイトからの Android アプリのインストールは、マルウェアの一般的な侵害ベクターとなるため、インストールしないことを強く推奨する。

Google Play 以外から Android アプリをダウンロードすること の怖さが、よく分かるインシデントの解説です。ただし、2023/05/23 の「iRecorder – Screen Recorder はトロイの木馬:Google Play の正規アプリがマルウェア化」で指摘されているように、Google Play で実績のある正規アプリにも、マルウェア汚染が広まっているという状況です。とにかく、アプリのダウンロードには気をつけることが必要です。よろしければ、Google Play で検索も、ご利用ください。