Googleは、AndroidのBadBox 2.0マルウェアボットネットの匿名運営者に対して訴訟を起こし、同社の広告プラットフォームに対する世界的な広告詐欺スキームを運営していると非難しています。
BadBox 2.0マルウェアボットネットは、Android Open Source Project(AOSP)デバイスを感染させて利用するサイバー犯罪の一形態であり、スマートテレビ、ストリーミングボックス、Google Play Protectのようなセキュリティ保護がないその他の接続デバイスなどが含まれます。
これらのデバイスは、攻撃者が低価格のAOSPデバイスを購入し、オペレーティングシステムを改変してBadBox 2マルウェアを組み込み、それをオンラインで再販するか、またはユーザーを騙してマルウェアを含む悪意のあるアプリをダウンロード・インストールさせることで感染します。
マルウェアはその後、攻撃者が運用するコマンド&コントロール(C2)サーバーに接続するバックドアとなり、デバイス上で実行するコマンドを受信します。
一度侵害されると、デバイスはBadBox 2.0ボットネットの一部となり、被害者が知らないうちに他のサイバー犯罪者に販売される住宅用プロキシとして利用されたり、広告詐欺に使われたりします。
Googleの訴訟は主に広告詐欺の側面に焦点を当てており、ボットネットは同社の広告プラットフォームに対して頻繁にこの詐欺を行っています。
この広告詐欺は、以下の3つの方法で実行されます:
- 隠し広告のレンダリング:偽の「イービルツイン」アプリが感染デバイスに密かにインストールされ、攻撃者が管理するウェブサイト上でGoogle広告をバックグラウンドで表示し、不正な広告収入を得ます。
- ウェブベースのゲームサイト:ボットは見えないウェブブラウザを起動し、仕組まれたゲームをプレイしてGoogle広告の表示を高速で発生させます。各広告表示ごとに、攻撃者が管理する出版社アカウントに収益が発生します。
- 検索広告クリック詐欺:ボットは、AdSense for Searchを利用する攻撃者運営のウェブサイトで検索クエリを実行し、検索結果に表示された広告から広告収入を得ます。
2024年12月、ドイツがオリジナルのBadBoxボットネットを撲滅し、感染デバイスとコマンド&コントロール(C2)インフラ間の通信をDNSクエリのシンクホール化によって遮断しました。
しかし、それでも犯罪組織の活動は止まらず、攻撃者はすぐにBadBox 2.0を立ち上げ、2025年4月時点で1,000万台以上のAndroidベースのデバイスが感染したと考えられています。Googleの訴状によると、ニューヨーク州だけでも17万台以上の感染デバイスが存在します。
Googleの訴状では、すでにこのオペレーションに関連する数千の出版社アカウントを停止したと述べていますが、ボットネットは依然として拡大を続けており、サイバーセキュリティ上のリスクが高まっていると警告しています。
「BadBox 2.0スキームが撲滅されなければ、今後も拡大し続けるだろう」とGoogleは警告しています。
「BadBox 2.0の犯罪組織は収益を生み出し続け、その収益を使って活動範囲を拡大し、新たなデバイスやマルウェアを生み出して犯罪活動を助長し、Googleはこの詐欺行為を調査・対策するために多大な財政的リソースを費やし続けることになるでしょう。」
被告が不明で中国に居住していると考えられるため、Googleはコンピュータ詐欺および不正利用防止法(Computer Fraud and Abuse Act)および組織犯罪取締法(RICO法)に基づいて救済を求めています。
同社は損害賠償と、マルウェアインフラの解体およびマルウェアのさらなる拡散防止のための恒久的な差し止め命令を求めています。
訴状には、サイバー犯罪組織のインフラの一部である100を超えるインターネットドメインのリストも含まれています。
2025年における8つの一般的な脅威
クラウド攻撃はますます巧妙化していますが、攻撃者は驚くほど単純な手法でも成功しています。
Wizが数千の組織で検知した事例から、このレポートではクラウドに精通した脅威アクターが用いる8つの主要な手法を明らかにします。