詐欺グループが消費者の家庭用ブランドや金融ブランドに対する信頼を悪用し、精巧に作り込まれた偽のGoogle Playストアページやソーシャルメディア広告を使って、オンラインカジノに紐づくProgressive Web App(PWA)へと誘導する手口が確認されています。
この詐欺は、Facebook、Instagram、Threads、TikTokといったプラットフォーム上の有料ソーシャル広告から始まります。広告は単純な「ブランド枠」ラベルを表示するものから、実在のロゴや製品インターフェース、さらにはスタッフやブランド拠点らしきものを映すAI生成の動画映像まで用いた、より巧妙な偽装へと進化しています。
これらの広告はスロットやカジノアプリの「公式」ローンチをうたい、時には捏造された利用者の声や偽のアプリストアのメタデータを組み合わせて信憑性を高めています。
広告をクリックすると、詐欺グループが管理するGoogle Playストアを模倣したランディングページやApp Storeの掲載ページ、あるいはブランドを冠したプロモーションページに誘導されます。「インストール」ボタンを押しても、公式ストアから審査済みのアプリがダウンロードされるわけではなく、ブラウザ上でPWAをホーム画面に追加するよう促すプロンプトが表示される仕組みです。
インストールされたPWAは、なりすまし対象のブランド名とアイコンを冠したネイティブアプリのように見えますが、実際には第三者運営のカジノURLを読み込むだけの薄いラッパーにすぎません。
Netcraftの調査によると、この一連の手口はTesco、Amazon、Monzo、Revolut、大手動画配信サービスなどのブランド名を騙る、アフィリエイト主導の連携キャンペーンであることが判明しています。ユーザーは有料ソーシャル広告から偽のアプリ掲載ページへと誘導され、最終的には無関係なギャンブルサイトを開くPWAをインストールさせられます。
PWAおよび起動URLに埋め込まれたアフィリエイト追跡パラメータにより、運営者は登録や入金といったその後の行動を、元の広告キャンペーンにひも付けて把握できるようになっています。
Google Playストアを装う偽ページ
Netcraftの観測によれば、この手口の背景にはアフィリエイトの経済的なうまみがあるとみられます。アフィリエイトプラットフォーム上で公開されている情報によれば、入金を行ったプレイヤー1件あたりの成果報酬(CPA)は通常50ドルから350ドルの範囲とされており、攻撃者が説得力のあるクリエイティブ制作と広範な広告出稿に投資する動機を説明しています。
Monzoの顧客を標的とした一連の広告では、実在のMonzoアプリのスクリーンショットを装いつつ捏造した残高を表示し、「MONZOがオンラインスロットを公式ローンチ」というコピーを添えていました。
各キャンペーンには共通する特徴が複数見られます。クリエイティブの水準は、任意のブランド名を差し込むだけの単純なテキスト広告から、ブランドのカラースキームや偽造したUIスクリーンショットを用いる捏造の「公式発表」、さらには偽のブランド従業員や拠点を中心に据えたAI生成のプロモーション動画まで、幅広く存在しています。
ランディングページも多様で、偽の開発者名やダウンロード数、捏造したレビューを備えた偽アプリ掲載ページから、ブランドロゴ入りのルーレットで当選確実を装う対話式の誘導ページまであります。後者ではユーザーに「賞品を受け取る」よう促し、PWAのインストールへと誘導します。
ドメイン選びには、seekerlucid.shopやoptimisphantasm.shopといった、一般的で無害に見えるホスト名が好んで使われており、自動フィルターによる即時検出を避ける狙いがうかがえます。
一方で、ブランド名を含むドメインや、正規のアドレスを視覚的に模倣したURLを使用するケースもあり、これによってさらに疑いを持たれにくくしています。
Netcraftの分析からは、運用面での一貫性も見えてきます。単一の広告主が複数の市場・言語にわたって多数の広告バリエーションを運用しているほか、一部の事例では同一のインフラが異なるブランドへのなりすましに使い回されており、単一の脅威アクターないしアフィリエイトネットワークが関与している可能性を示唆しています。
プラットフォームおよび広告主は、クリエイティブの審査体制を強化し、ブランドなりすましを監視するとともに、ユーザーをギャンブルサイトへ誘導するアフィリエイト経路を遮断する必要があります。
ユーザーにとってのリスクは二重です。ギャンブルによる金銭的損失に加え、正規のブランドコミュニケーションに対する信頼が損なわれる恐れがあります。この手口でインストールされたPWAは、ブランドを冠したタイトルバーとブラウザのUIを最小限に抑えた表示によって実際の接続先を隠蔽できるため、カジノサイトを公式アプリと誤認しやすくなっています。
対策には、ユーザー側の警戒とプラットフォーム側の対応の両方が求められます。消費者は、身に覚えのない「公式ローンチ」広告には懐疑的な姿勢で臨み、アプリの入手元は公式ベンダーのページで確認し、身元不明のランディングページからPWAをインストールしないよう心がけるべきです。
翻訳元: https://gbhackers.com/fake-google-play-store-pages/