機械学習を活用し、欺瞞的なクリック生成によって密かに広告詐欺を実行する高度なAndroidマルウェアの亜種が出現しました。Dr.Webのフォレンジック分析担当者によって特定されたこの悪性エージェントは、無害なゲームアプリを装い、Xiaomi端末向け公式リポジトリであるGetAppsに加え、サードパーティのドメインやTelegramチャンネルを通じて拡散しています。
このマルウェアの開発者は、ブラウザおよびサーバー環境で機械学習モデルを実行できるようにする、Googleが主導したオープンソースフレームワークであるTensorFlow.jsを組み込んでいます。この統合により、 ソフトウェアが本物の人間の行動を説得力高く模倣できるようになります。従来のJavaScriptスクリプトに依存するのではなく、プログラムはウェブページを視覚的に精査します。仮想ブラウザのスナップショットを取得し、視覚認識によって操作可能な広告要素を特定し、それらに対して「物理的」なクリックをシミュレートします。
Dr.Webの調査によれば、このマルウェアは2つの異なるモードで動作します。「Phantom」モードでは、アプリが非表示の統合WebViewブラウザを用いて標的ページを読み込み、クリック活動を制御するスクリプトを注入します。これらはすべて、ユーザーの知覚の閾値を下回る形で進行します。対照的に「Signaling」モードでは、WebRTC技術を利用して、非表示ブラウザのリアルタイムな視覚テレメトリをサイバー犯罪者に提供し、スクロール、テキスト入力、要素の精密な選択といった手動介入を可能にします。
検知を回避するため、このマルウェアは当初、悪性ペイロードを一切含まない無害なゲームとしてアプリリポジトリに提出されます。その後、危険な機能がインストール後の更新によって密かに追加されます。GetApps上で侵害が確認されたアプリには、次のものがあります:
-
Theft Auto Mafia(61,000ダウンロード)
-
Cute Pet House(34,000ダウンロード)
-
Creation Magic World(32,000ダウンロード)
-
Amazing Unicorn Party(13,000ダウンロード)
-
Open World Gangsters(11,000ダウンロード)
-
Sakura Dream Academy(4,000ダウンロード)
GetApps以外でも、Spotify、YouTube、Deezer、Netflixといった一般的なサービスの改変版を提供するポータルを通じて、悪性APKが配布されています。分析担当者は、Moddroidサイトの「Editor’s Choice」セクションに掲載されているアプリの大半が感染していると指摘しています。さらに感染はTelegramやDiscordサーバーにも広がり、人気ソフトウェアの「Pro」や「Plus」版として出回っています。
これらの不正スキームは機密データの直接的な流出を主目的としてはいないものの、端末の動作健全性を深刻に損ないます。具体的には、バッテリー寿命の低下、ハードウェアの摩耗の加速、モバイルデータ通信量の消費を引き起こします。危険性を増幅させているのは、これらの偽アプリがしばしば完全に機能し続けるため、感染が長期間にわたりユーザーに気付かれないままになり得る点です。
