新たなAndroidのクリック詐欺トロイの木馬のファミリーが、TensorFlowの機械学習モデルを活用し、特定の広告要素を自動的に検出して操作します。
この仕組みは、事前定義されたJavaScriptのクリック手順ではなく機械学習に基づく視覚解析に依存しており、従来のクリック詐欺トロイの木馬のようなスクリプトベースのDOMレベルの操作は行いません。
脅威アクターは、Googleが開発したJavaScript向けの機械学習モデルの学習・デプロイ用オープンソースライブラリであるTensorFlow.jsを使用しています。これにより、ブラウザ上またはNode.jsを用いたサーバー上でAIモデルを実行できます。
モバイルセキュリティ企業Dr.Webの研究者は、この新しいAndroidトロイの木馬ファミリーが、Xiaomi端末向け公式アプリストアであるGetAppsを通じて配布されていることを発見しました。
彼らは、このマルウェアが「phantom(ファントム)」と呼ばれるモードで動作できることを突き止めました。このモードでは、隠されたWebViewベースの組み込みブラウザを使用して、クリック詐欺の対象ページとJavaScriptファイルを読み込みます。このスクリプトの目的は、読み込まれたサイトに表示される広告に対する操作を自動化することです。
リモートサーバーから学習済みモデルを読み込んだ後、隠しブラウザは仮想スクリーン上に配置され、TensorFlow.jsが解析して関連要素を特定できるようにスクリーンショットが取得されます。
正しいUI要素をタップすることで、マルウェアはユーザーの通常の操作を再現します。この方法は、これらの広告の多くが動的で、構造が頻繁に変化し、iframeや動画を使用することも多いため、現代の広告の多様性に対してより効果的で、耐性も高いとされています。
2つ目の「signalling(シグナリング)」と呼ばれるモードでは、WebRTCを使用して仮想ブラウザ画面のライブ映像を攻撃者にストリーミングし、タップ、スクロール、テキスト入力といったリアルタイム操作を可能にします。
脅威アクターは、XiaomiのGetAppsソフトウェアカタログ上のゲームにマルウェアを仕込んで配布しています。最初は悪意のある機能を含まない状態でアプリが提出され、その後のアップデートで悪性コンポーネントが追加されます。
Doctor Webが特定した感染ゲームの一部は次のとおりです:
- Theft Auto Mafia — 61,000ダウンロード
- Cute Pet House — 34,000ダウンロード
- Creation Magic World — 32,000ダウンロード
- Amazing Unicorn Party — 13,000ダウンロード
- Open World Gangsters — 11,000ダウンロード
- Sakura Dream Academy — 4,000ダウンロード
出典:Doctor Web
Xiaomiでホストされているアプリに加えて、トロイの木馬はサードパーティのAPKサイト(例:ApkmodyやModdroid)経由でも配布されており、元のSpotify、YouTube、Deezer、Netflixアプリを改変したバージョン、いわゆる「mods」も含まれます。
研究者らは Moddroidの「Editor’s Choice」ページにあるアプリの大半が感染していると述べています。
感染したAPKファイルはTelegramチャンネルを通じても配布されており、アプリ例としてSpotify Pro、Spotify Plus – Official、Moddroid.com、Apmkody Chatなどが挙げられます。
出典:Doctor Web
Dr.Webはまた、感染アプリ「Spotify X」を拡散している登録者2万4,000人のDiscordサーバーも発見しました。
研究者らは、これらのアプリの少なくとも一部は「実際に動作する」ため、ユーザーの疑念が薄れると指摘しています。さらに、クリック詐欺は仮想スクリーン上でコンテンツを描画する隠しWebView内で密かに実行されるため、被害者には悪意ある活動の兆候が一切見えません。
クリックジャッキングや広告詐欺は、ユーザーのプライバシーやデータに対する差し迫った脅威ではないものの、サイバー犯罪者にとっては収益性の高い活動です。ユーザーへの直接的な影響としては、バッテリーの消耗と劣化の早期化、そしてモバイルデータ通信料の増加が挙げられます。
Androidユーザーには、Google Play以外からアプリをインストールしないこと、特に追加機能やプレミアムサブスクリプションへの無料アクセスをうたう人気アプリの代替版を避けることが推奨されます。
