数千の Android アドウェア アプリが偽のクラックされたパッケージに隠れる

Android デバイスをターゲットとした大規模なアドウェア キャンペーンが発見され、人気アプリケーションのクラック版または改造版を装った数千のアプリが関与していました。このキャンペーンは 2022 年 10 月から継続しており、ユーザーに不要な広告を大量に表示することで収益を上げることを目的としています。ただし、その背後にいる攻撃者は戦術を変更し、バンキング型トロイの木馬やランサムウェアなどの他の種類のマルウェアを配布して機密情報を盗む能力を持っています。

サイバーセキュリティ企業 Bitdefender の技術レポートによると、アドウェアを搭載した約 60,000 個の固有のアプリが特定されています。検出の大部分は、米国、韓国、ブラジル、ドイツ、英国、フランス、カザフスタン、ルーマニア、イタリアなどの国で見つかっています。

配布となりすましアプリ

特に、これらの悪意のあるアプリはいずれも、公式の Google Play ストアを通じて配布されていません。代わりに、検索エンジンで Netflix、PDF ビューア、セキュリティ ソフトウェア、または YouTube のクラック版などの人気アプリを検索しているユーザーは、マルウェアをホストする広告ページにリダイレクトされます。

これらのアプリにはアイコンや名前が表示されないため、インストールされると検出を回避するための手段が講じられます。さらに、ユーザーが初めてアプリを起動すると、そのアプリが自分の地域では利用できないことを主張し、アンインストールするよう促すメッセージが表示されますが、悪意のあるアクティビティはバックグラウンドでアクティブなままです。

偽アプリの動作モード

このキャンペーンの注目すべき点の 1 つは、アドウェアの手口です。当初、このアドウェアは数日間休止状態のままですが、被害者が携帯電話のロックを解除するとアクティブになり、Android WebView を使用して全画面広告を表示します。

別の発見として、サイバーセキュリティ企業 CloudSEK は、Doctor Web によって以前に公開された不正な SpinOK SDK が、Google Play ストア上の 193 のアプリに埋め込まれており、合計 3,000 万ダウンロードされているのを発見しました。このモジュールは、ユーザーをミニゲームやタスクに参加させて報酬を獲得する方法として現れますが、実際にはファイルを盗んだりクリップボードの内容を操作する悪意のある機能が含まれています。

さらに、SonicWall Capture Labs 脅威調査チームは、正規のアプリを装い、オペレーティング システムのアクセシビリティ サービスを悪用して、侵害されたデバイスから幅広い情報を収集する別の種類の Android マルウェアを発見しました。このタイプの攻撃は、金融詐欺や個人情報の盗難など、さまざまな不正行為につながる可能性があります。