Android版クリック詐欺マルウェアがGoogle Playストアに再出現

クリック詐欺マルウェアはたびたびGoogle Playストアや非公式アプリマーケットで配布されているのを発見します。クリック詐欺マルウェアは、正規アプリと同じAPI呼出しやパーミッションを使用しているため検知が困難な場合があります。さらに、Web広告をクリックするような悪意ある動作は、マルウェア実行時に攻撃者のサーバーからダウンロードされるため、マルウェアには悪質なコードが含まれていません。この特殊な方法を用いることで、攻撃者はクリック詐欺行為を任意のタイミングで実行することができるのです。

マカフィーのモバイルマルウェアリサーチチームは、Google Playストアで開発者 “TubeMate 2.2.9 SnapTube YouTube Downloader J.” によって配布されていたクリック詐欺マルウェア “Android/Clicker” を発見しました。なお、この開発者によって配布されていた5つのアプリは8月4日にアップデートされた数日後に、開発者のプロフィールと共にGoogle Playストアから削除されたことを確認しています。

20170824clickfraud1

Google Playストアで配布状況を確認してみると、無意味なアプリ名称であったり、アプリの説明が記載されていなかったりといった不審な点をすぐに発見することができます。もちろん、これらの情報によって、そのアプリがマルウェアであると断定できるものではありませんが、最新アプリを積極的に試すAndroidユーザーにとって、マルウェアや詐欺アプリに感染するリスクを回避するために役立つ指標となります。

 

 

20170824clickfraud2

私たちが、このマルウェアサンプルを解析したところ、デバイス管理者権限に関係したクラスにおいて、特定のURLにアクセスし、クリック詐欺活動を実行するために必要なパラメーターを取得していることを確認しました。

 

20170824clickfraud3

デバイス管理者権限に関連したレシーバークラスに含まれている悪質なコード

URLにアクセスすると、攻撃者のサーバーは下記に示すようなタイトルタグ内にパラメーターを埋め込んだ特殊なHTMLページを返します。

 

20170824clickfraud4

応答HTMLに含まれるパラメーターは1行で書かれていますが、マルウェアは文字列 “eindoejy” を区切り文字としてパラメーターを解釈します。マルウェアはターゲットとなるURL、クリック操作をシミュレートするJavaScript関数、リクエストに使用するHTTPヘッダー情報、広告ネットワークを悪用してクリックを収益化するためにGoogle Playストア上のアプリのURLを取得します。私たちは、この区切り文字に使用されている文字列 “eindoejy” は、“I enjoyed” や “die enjoy” のアナグラムではないかと想像していますが、別のサンプルでは異なる区切り文字が使われていました。

このマルウェアをインストールすると、メニュー画面にはGoogle Playストアからダウンロードしたアプリとは違うアイコンが追加されます。登録されたアイコンは一見するとシステムユーティリティのように見えます。マルウェアによって作成されたアイコンの例を下記に示します。

 

20170824clickfraud5 登録されたアイコンをタップしてマルウェアを起動すると、デバイス管理者権限が要求されます。

20170824clickfraud6300x500_6

マルウェアのサンプルによって多少動作が異なりますが、起動するとWebViewを使用してYouTubeのトレンドチャンネルを表示するサンプル、画面をロックして画面を暗転させるサンプル、バックグラウンドでのクリック詐欺実行中にアプリがクラッシュしてしまうサンプルなどが確認されています。クリック詐欺は広告業者にとって害があるだけではなく、感染した端末上で不要な通信を発生させ、端末のバッテリー消費やパフォーマンスにも影響を及ぼし、さらには、別の悪質なコードが実行される危険性を含んでいます。

McAfee Mobile Security は、この脅威を Android/Clicker.BN として検出し、その実行を阻止します。悪意あるアプリに対する脅威から自身の端末を保護するためには、まず公式アプリストアを利用してください。そして、無意味なアプリ名称、アプリ説明の有無、乏しいユーザーレビューといった怪しい兆候に注意を払ってください。また、アプリがリクエストするパーミッションがそのアプリの機能と関係あるかを考えてください。特に、デバイス管理者権限が要求された時は注意しましょう。デバイス管理者権限はたいていセキュリティ製品、企業が利用するデバイス管理アプリやメールクライアント等で使用されるべきものであり、通常のアプリやゲームで使用されるものではありません。

解析したサンプルのハッシュ一覧:

  • b212cb284f6aba06599877ab49c1e0373909d65bd6f3c03f01d8c0e3d88dc85a
  • f309ab9ecd2fb4895ba8eca873976e124817b1d8acfc553aa91798b6e82d79ea
  • d642e69a53cba9b7c2a612173f9b410a6b1ac055ed575ad8019b263a5edaaeaf
  • 50247e85ecb6452aa847a572ca04ab310cf8e9288520f824d13ebcc207be7c13

※本ページの内容は McAfee Blog の抄訳です。
原文: Android Click-Fraud Apps Briefly Return to Google Play
著者: Fernando Ruiz

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速