🛡 概要
最近、Google Playストアにおいて224の悪意あるアプリが確認され、大規模な広告詐欺キャンペーン「SlopAds」が排除されました。このキャンペーンは、1日に23億件の広告リクエストを生成し、38百万回以上のダウンロードが行われていました。SlopAdsは228か国で広がり、特にアメリカ、インド、ブラジルからの不正な広告インプレッションが多く見られました。HUMANのSatori Threat Intelligenceチームが発見したこのキャンペーンは、ユーザーに対してAIを利用したアプリのように見せかける手口が特徴です。
🔍 技術詳細
SlopAdsキャンペーンは、複数の回避戦術を用いてGoogleのアプリレビューやセキュリティソフトウェアからの検出を回避します。ユーザーがPlayストアからアプリを自然にインストールした場合、アプリは通常の機能を果たしますが、悪意のある広告キャンペーン経由でインストールされた場合、Firebase Remote Configを通じて暗号化された設定ファイルをダウンロードします。このファイルには広告詐欺モジュールやキャッシュアウトサーバーのURLが含まれています。アプリはデバイスが研究者やセキュリティツールによって分析されていないかを判断し、条件を満たすと、ステガノグラフィーを利用して隠された悪意のあるAPKを再構成します。これにより、攻撃者は不正な広告インプレッションを生成し、収益を得ることが可能になります。
⚠ 影響
この広告詐欺キャンペーンは、数十億の不正な広告インプレッションを生成し、攻撃者に大きな収益をもたらしました。HUMANによれば、SlopAdsのインフラには多数のコマンド&コントロールサーバーと300以上の関連プロモーションドメインが含まれており、攻撃者は今後も新たな手法で攻撃を試みる可能性があります。GoogleはすべてのSlopAdsアプリを削除しましたが、ユーザーはデバイスに残るアプリを注意深く確認し、Google Play Protectの警告に従うことが重要です。
🛠 対策
ユーザーは、アプリをインストールする際には公式なストアからのみ行い、不審なアプリはインストールしないようにしましょう。また、定期的にデバイスのセキュリティスキャンを実施し、最新のセキュリティパッチを適用することが推奨されます。企業や開発者は、アプリのコードを定期的にレビューし、脆弱性を早期に発見・修正する体制を整えることが必要です。さらに、広告ネットワークやパートナーとの連携を強化し、異常な活動を早期に検出できる体制を構築することも重要です。
