Adware on Google Play and Apple Store installed 13 million times

セキュリティ研究者は、Google Play で 75 個のアプリケーションを発見し、Apple の App Store でさらに 10 個のアプリケーションが広告詐欺に関与していることを発見しました。合計すると、1,300 万のインストールが追加されます。

不正なアプリは、モバイル ユーザーを目に見える広告と隠した広告であふれさせるだけでなく、正規のアプリやインプレッションになりすまして収益を上げました。

これらの種類のアプリは重大な脅威とは見なされませんが、オペレーターはそれらをより危険な活動に使用できます。

HUMAN の Satori Threat Intelligence チームの研究者は、「Scylla」と名付けられた新しい広告詐欺キャンペーンの一部である一連のモバイル アプリを特定しました。

アナリストは、Scylla は 2019 年 8 月に発見された「ポセイドン」と呼ばれる作戦の第 3 波であると考えています。明らかに同じ脅威アクターによる第 2 の波は「Charybdis」と呼ばれ、2020 年末にかけて最高潮に達しました。

広告詐欺アプリ

Satori チームは Google と Apple に調査結果を通知し、アプリは公式の Android および iOS ストアから削除されました。

Android デバイスでは、 Play プロテクトセキュリティ オプションを無効にしない限り、アプリは自動的に検出されます。

iOS の場合、デバイスに既にインストールされているアドウェア アプリを削除する方法について、Apple は明確ではありません。ヒューマンは、デバイスに不正なアプリが存在する場合、ユーザーがそれらを削除することを推奨しています。それらの中で最もダウンロードされた短いリストを以下に示します。

iOSアプリ一覧:

  • 城を略奪する – com.loot.rcastle.fight.battle (id1602634568)
  • ブリッジを実行 – com.run.bridge.race (id1584737005)
  • シャイニングガン – com.shinning.gun.ios (id1588037078)
  • レーシング レジェンド 3D – com.racing.legend.like (id1589579456)
  • ロープランナー – com.rope.runner.family (id1614987707)
  • 木の彫刻家 – com.wood.sculptor.cutter (id1603211466)
  • ファイアウォール – com.fire.wall.poptit (id1540542924)
  • 忍者クリティカルヒット – wger.ninjacriticalhit.ios (id1514055403)
  • トニー・ランズ – com.TonyRuns.game

Androidアプリ一覧 (ダウンロード数 100 万以上)

  • スーパーヒーロー – 世界を救え! -com.super.man.playmilk
  • 10 の違いを見つけましょう – com.different.ten.spotgames
  • 5 つの違いを見つける – com.find.five.subtle.differences.spot.new
  • 恐竜の伝説 – com.huluwagames.dinosaur.legend.play
  • 一線画 – com.one.line.drawing.stroke.yuxi
  • シュートマスター – com.shooter.master.bullet.puzzle.huahong
  • タレントトラップ – NEW – com.talent.trap.stop.all

Scylla の広告詐欺の波の一部であるアプリケーションの完全なリストは、 HUMAN のレポートで入手できます。

マルウェアの詳細

Scylla アプリは通常、広告のクリック/インプレッションがより収益性の高いソフトウェア カテゴリからのものであるかのように広告主に見せるために、発行物名と一致しないバンドル ID を使用していました。

HUMAN の研究者は、29 個の Scylla アプリが最大 6,000 個の CTV ベースのアプリを模倣し、ID を定期的に循環させて不正検出を回避していることを発見しました。

アプリで使用する ID を指定した C2 レスポンス
ID なりすまし命令を含む C2 応答(HUMAN)

Android では、広告は非表示の WebView ウィンドウに読み込まれるため、すべてバックグラウンドで行われるため、被害者は不審な点に気付くことはありません。

広告のウェブビューの場所を識別する UI 要素
広告の Web ビューの場所を識別する UI 要素(HUMAN)
目に見えない広告で偽のクリックを生成する
目に見えない広告で偽のクリックを生成する(HUMAN)

さらに、このアドウェアは「JobScheduler」システムを使用して、被害者がデバイスを積極的に使用していないとき (画面がオフになっているときなど) に広告インプレッション イベントをトリガーします。

JobScheduler コード
JobScheduler コード(HUMAN)

不正の兆候はログに記録され、ネットワーク パケット キャプチャで確認できますが、通常のユーザーは通常、これらを精査しません。

ネットワーク ログの広告トラフィック
ネットワーク ログの広告トラフィック(HUMAN)

この操作の最初のキャンペーンである「Poseidon」と比較すると、Scylla アプリは、Allatori Java 難読化ツールを使用した追加のコード難読化レイヤーに依存しています。これにより、研究者にとって検出とリバース エンジニアリングがより困難になります。

ユーザーは、バッテリーの急速な消耗やインターネット データ使用量の増加、またはインストールした覚えのないアプリなど、通常は問題を示す兆候を探して、悪意のあるアプリや不要なアプリがないかアプリを監視する必要があります。

また、インストールされているアプリのリストを確認し、インストールした覚えのないアプリや、なじみのないベンダーから提供されたアプリを削除することをお勧めします。