HUMANの新しいレポートによると、352個のAndroidアプリから構成されるモバイル広告詐欺オペレーションIconAdsが摘発されました。
特定されたアプリは、ユーザーの画面にコンテキスト外の広告を表示し、デバイスのホーム画面ランチャーからアイコンを隠すよう設計されており、被害者がアプリを削除しにくくなっていました。同社のSatori脅威インテリジェンス&リサーチチームによれば、これらのアプリはGoogleによってPlayストアから削除されています。
この広告詐欺スキームは、活動の最盛期には1日あたり12億件の入札リクエストを占めていました。IconAds関連のトラフィックの大部分は、ブラジル、メキシコ、アメリカ合衆国から発生していました。
IconAdsは、他のサイバーセキュリティベンダーによって追跡されているHiddenAdsやVaporという名称でも知られる脅威の亜種であり、悪意のあるアプリがGoogle Playストアの審査を少なくとも2019年以降何度もすり抜けてきました。
これらのアプリの一般的な特徴には、ネットワーク通信中にデバイス情報を隠すための難読化の使用、コマンド&コントロール(C2)ドメインに使われる一定の命名パターン、そしてエイリアスを宣言することでデフォルトのMAIN/LAUNCHERアクティビティを置き換える能力などがあります。
「これは、アプリがインストールされた際にデフォルトのラベル名とアイコンが表示されますが、アプリが実行されるとすぐにマニフェストで宣言されたactivity-aliasが有効となり、アプリを再起動したりデバイスを再起動してもそのまま残ることを意味します」とHUMANは述べています。
この挙動により、アプリの名前とアイコンがホーム画面から隠され、簡単にアンインストールできなくなります。アプリの最終的な目的は、どのアプリがアクティブであってもインタースティシャル広告を表示し、ユーザー体験を著しく妨害することです。
IconAdsアプリの一部の亜種は、アイコンや名前を隠す代わりにGoogle Playストア(または他のGoogle関連アプリのアイコンや名称)を偽装していることが判明しています。アプリをクリックすると被害者は公式アプリにリダイレクトされますが、その裏で悪意のある活動が行われています。
悪意のあるアプリの新しいバージョンでは、アプリがPlayストアからインストールされたかどうかを確認するチェックや、動的解析に耐えるためのさらなる難読化レイヤーが追加されています。
「多くのIconAds関連アプリは、Playストアから削除されるまでの寿命が短いです」とHUMANの研究者は述べています。「この脅威が進化を続けていることから、今後も新しいアプリが公開され、新たな難読化技術が追加されると予想されます。」
この発表は、IAS Threat LabがKaleidoscopeと呼ばれる「極めて適応的」な広告詐欺オペレーションを暴露したことと重なります。この手口では、「Google Play上に正規アプリのように見せかけたアプリを偽装の表向きとしてホストし、その悪意のある複製アプリが主にサードパーティのアプリストアを通じて配布され、不正な広告供給を行う」というイービルツイン技術が使われています。
Kaleidoscopeは、CaramelAds SDKという広告フレームワークを組み込んだアプリを中心とした類似の広告詐欺スキームKonfetyの進化版です。新たに特定されたアプリはCaramelAdsへの言及を削除し、コア機能をLeisure、Raccoon、Adsclubなど異なる名称の他の改変SDKに組み込んでいます。
このオペレーションの本質はこうです:サイバー犯罪者は、同じアプリのほぼ同一の2つのバージョン、すなわちGoogle Playで入手可能な無害な「デコイツイン」と、サードパーティのアプリストアや偽のウェブサイトで配布される「イービルツイン」を作成します。「イービルツイン」アプリは、侵入的で不要な広告を生成し、不正に広告収益を得ます。
2024年12月から2025年5月までの期間におけるESETのテレメトリデータによると、Kaleidoscopeは世界中の多くのAndroidユーザーに影響を与えており、特にラテンアメリカ、トルコ、エジプト、インドが、これらの地域でサードパーティアプリストアの人気が高いため最も影響を受けています。
アドウェア活動は、ユーザーが「イービルツイン」アプリを意図せずインストールしたときに始まり、侵入的な広告やデバイス性能の低下を引き起こします。しかし、広告は模倣アプリを通じて配信されるため、広告主は不正な広告表示に対して詐欺師に支払いをしてしまいます。
「このスキームの主な収益化戦略は、サードパーティのアプリストアを通じて配布される悪意のある複製アプリに依存しており、無害なアプリIDが悪意のあるカウンターパートによって悪用され、広告インプレッションを生成し収益を生み出します」とIASは述べています。「悪意のあるアプリは、無害なアプリIDを装って、ユーザーの操作なしに全画面のインタースティシャル画像や動画などのコンテキスト外広告を配信します。」
Kaleidoscopeの収益の大部分は、「ディスプレイ広告や動画を収益化する方法を提供する」と主張するポルトガルの企業Saturn Dynamicにまで辿ることができます。
Androidデバイスはまた、NGateやSuperCard Xなど様々なマルウェアファミリーによる攻撃にもさらされています。これらは近距離無線通信(NFC)技術を悪用し、被害者の支払いカードからNFC信号を侵害されたスマートフォン経由で攻撃者が制御するデバイスに中継し、犯罪者が遠隔でATMから現金を引き出せるようにする巧妙なリレーテクニックで金融詐欺を行います。
これらの悪意のあるプログラムを利用したモバイルマルウェアキャンペーンは、ロシア、イタリア、ドイツ、チリで感染に成功したと報告されています。
NGateは、Ghost Tapと呼ばれる別のNFCベースの手法にも影響を与えています。これは攻撃者が盗んだカードデータを自分たちのGoogle PayやApple Payなどのデジタルウォレットに登録し、そのウォレットを中継して世界中どこでも不正な非接触決済を行うというものです。
「Ghost Tapの攻撃者は、侵害されたモバイルデバイスをNFC対応の決済端末にタップして不正な取引を作り出します」とESETは述べています。「これらの取引は正規のものに見え、従来のセキュリティチェックを回避し、犯罪者が迅速に現金化できるようにします。」
Android SMSスティーラー、ウズベキスタンで10万台に感染#
この発見は、これまで特定されていなかったSMSスティーラー「Qwizzserial」を配布する新たなAndroidマルウェアキャンペーンの発見と時を同じくしています。このマルウェアは主にウズベキスタンで約10万台のデバイスに感染し、2025年3月から6月の間に少なくとも62,000ドルの経済的損失をもたらしたと推定されています。
このマルウェアは2024年3月にGroup-IBによって初めて発見され、インストール済みの金融アプリのリスト収集、2要素認証(2FA)SMSコードの傍受、そして詳細情報をTelegramボット経由で攻撃者に送信するよう設計されています。
Qwizzserialは正規の銀行アプリや政府サービスを装い、主に偽のTelegramチャンネル上でAPKファイルとして配布されています。これらのチャンネルは政府機関や公務員を名乗っており、攻撃はユーザーが政府サービスを信頼してアプリをインストールするという心理を悪用しています。
Telegramはこのオペレーションの中心でもあり、脅威アクターが運営するボットが、配布用の悪意あるアプリ作成プロセスを自動化するために使われています。他のチャンネルは内部グループチャットや、メンバーごとの収益に関する発表などに利用されています。
アプリがインストールされると、ユーザーにSMSメッセージや通話へのアクセス権限を許可するよう求めます。その後、ユーザーは2つの電話番号と銀行カード番号、有効期限の入力を促され、入力された情報はTelegramボットAPIを通じて攻撃者に送信されます。
SMS収集の一環として、Qwizzserialは正規表現パターンを用いて、銀行口座残高に関するメッセージや50万UZS(約39ドル)を超える金額が記載されたメッセージを検索します。
新しいマルウェアサンプルでは、ユーザーにバッテリー最適化制限の無効化を求めることで、介入なしにバックグラウンドで動作し続けることが可能になっています。もう一つの変更点は、収集したデータをTelegram APIに直接送信するのではなく、HTTP POSTリクエストを使って外部サーバーに送信するようになったことです。
「SMSスティーラーはウズベキスタンにおいて深刻な脅威です。SMSはエンドユーザーとの主なやり取り手段であり、地元の決済システムは確認のために2要素認証(2FA)コードをSMSで送信しています」とシンガポールのサイバーセキュリティ企業は述べています。
Qwizzserialだけではありません。最近数か月、インドのモバイルユーザーは、偽の結婚式招待状を装ったマルウェア入りAPKファイルがWhatsAppやTelegramで拡散され、最終的にSpyMax RAT(別名SpyNote)や、感染デバイスから機密データを窃取できる他のスパイウェアが配布される標的となっています。
Kasperskyが記録した別のキャンペーンでは、AndroidとiOSの両方を標的にできる新たなトロイの木馬「SparkKitty」の配布が確認されています。問題のアプリ(币coinとSOEX)は、すでに各アプリストアからダウンロードできなくなっています。
AppleのApp Store以外では、マルウェアは改造されたTikTokクローンにも埋め込まれ、アプリリストページを模した偽のウェブサイトでホストされています。この経路でのインストールを容易にするため、マルウェア開発者はAppleのDeveloper Program経由で入手可能なプロビジョニングプロファイルを利用し、被害者のiPhoneに証明書をインストールしてApp Storeを経由せずにアプリを配信しています。
「このマルウェアのほとんどのバージョンは無差別に全画像を盗みますが、OCR(光学文字認識)を使って特定の画像だけを選ぶ関連する悪意のある活動クラスターも発見しました」とロシアのサイバーセキュリティ企業は述べています。
SparkKittyは少なくとも2024年2月から活動していると見られ、OCRを使ってウォレットのリカバリーフレーズが含まれる特定の画像を検出するSparkCatの後継である可能性が指摘されています。
「攻撃者の主な目的は暗号ウォレットのシードフレーズのスクリーンショットを探すことだと推測されますが、盗まれた画像には他の機密データも含まれている可能性があります」とKasperskyは述べています。「配布元から判断すると、このスパイウェアは主に東南アジアや中国のユーザーを標的にしています。」
翻訳元: https://thehackernews.com/2025/07/mobile-security-alert-352-iconads-fraud.html