43 Android apps in Google Play with 2.5M installs loaded ads when a phone screen was off
2023/08/08 SecurityAffairs −−− 先日に McAfee の Mobile Research Team の研究者たちが、Google Play で発見したのは、携帯電話の画面がオフのときであっても、広告を読み込む 43 種類の Android アプリであり、そのインストール総数は 250万に達するという。
このようなアプリは、Google Play のデベロッパー・ポリシーに違反している。なぜなら、ユーザーに表示されることのない広告に対して、広告費が支払われるだけではなく、バッテリーの消耗/通信データの消費/クリッカーによる情報漏えいやユーザー・プロフィールの乱れなど、複数のリスクが生じるからである。この種の悪意のアプリには、TV/DMBプレーヤー/音楽ダウンローダー/ニュースアプリ/カレンダーアプリなどが含まれるという。
McAfee が摘発した広告詐欺キャンペーンは、主に韓国の Android ユーザーを標的としていた。同社のレポートによると、このキャンペーンで使用された広告詐欺ライブラリは、詐欺行為の開始を遅らせるなど、検出や検査を回避するための特殊なトリックを実行している。
McAfee は、「不正活動の開始を意図的に遅らせ、インストール時から潜伏期間を設けている。さらに、このライブラリの複雑な設定は、Firebase Storage や Messaging サービスを介したリモートからの変更/プッシュなどが可能である。これらの要因により、不正行為の特定と分析の複雑さが著しく高められている。特筆すべきは、潜伏期間が通常で数週間に及ぶため、検出が困難であるという点だ」と述べている。
研究者たちは、「この種の不正アプリの潜伏期間が終了すると、デバイスの画面がオフになったときに、広告の取得と読み込みを開始される。したがってユーザーは、自分のデバイスがこの詐欺スキームに関与していることを知ることができない。広告ライブラリは、アプリケーションにリンクされた固有のドメイン (例:mppado.ooocooo.com) にアクセスすることで、デバイス情報を登録する。その後に、これらのアプリは、Firebase Storage から特定の広告 URL を取得し、広告を表示する」と付け加えている。
しかし、素早く画面をオンにすることで、自動的に閉じられる前の広告を、垣間見ることができるという。
McAfee のレポートは、「結論として、節電機能の回避や、他のアプリに対するドローのようなパーミッション許可を、ユーザーは慎重に評価すべきであり、また、許可には注意が不可欠となる。これらの許可は、バックグラウンドで実行される特定の合法的な機能のために必要かもしれないが、隠された動作を有効化することで、隠されたクリッカーの動作による広告やコンテンツの関連性を低下させるなどの、潜在的なリスクが生じることを考慮すべきだ」と結論付けている。
なお、研究者たちは、問題の Android パッケージの名前と、これらのアプリの侵害指標 (IoC) を共有している。
広告詐欺キャンペーンも、手を変え品を変えで攻めてきますね。この種の侵害を受けても、それぞれのユーザーには大きな被害とはなりませんが、使用しているデバイスが、もっと深刻な事態に陥ることも想定しなければなりません。いまのモバイル環境は、怖いものだらけですね。よろしければ、2023/08/04 の「Google Play Store にマルウェアが出回る理由:G 先生の言い訳を聞かせてもらおう」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.