Googleが削除した224個の悪質アプリをご覧ください

「SlopAds」と呼ばれる大規模なAndroid広告詐欺行為は、Google Play上の224個の悪質アプリが使用され、1日あたり23億件の広告リクエストが生成された後、阻止された。

HUMANのSatori脅威インテリジェンスチームがこの広告詐欺キャンペーンを発見しました。同チームによると、これらのアプリは3,800万回以上ダウンロードされており、難読化やステルス技術を用いてGoogleやセキュリティツールから悪意のある動作を隠蔽しているとのことです。

約 224 個の悪意のあるアプリが SlopAds 広告詐欺キャンペーンにリンクされています。

このキャンペーンは世界中で展開され、228か国からアプリがインストールされ、SlopAdsのトラフィックは1日あたり23億件の入札リクエストを記録しました。広告インプレッションの集中度が最も高かったのは米国（30%）で、次いでインド（10%）、ブラジル（7%）でした。

「研究者らはこの活動を『SlopAds』と名付けました。この脅威に関連するアプリは大量生産されたような外観で『AIスロップ』に似ており、脅威アクターのC2サーバーでホストされているAIをテーマにしたアプリやサービスのコレクションを指しているからです」とHUMANは説明した。

Các ứng dụng Android liên quan đến chiến dịch gian lận quảng cáo SlopAds Nguồn: HUMAN Satori — SlopAds広告詐欺キャンペーンに関与したAndroidアプリ Source: HUMAN Satori

極めて巧妙な広告詐欺

広告詐欺には、Google のアプリ審査プロセスとセキュリティソフトウェアによる検出を回避するための複数レベルの回避戦術が含まれます。

ユーザーがキャンペーンの広告からではなく、Play ストアを通じて自然に SlopAd アプリをインストールした場合、アプリは通常のアプリのように動作し、宣伝されている機能を通常どおり実行します。

Quy trình làm việc của phần mềm độc hại gian lận quảng cáo SlopAds Nguồn: HUMAN SATORI — SlopAds広告詐欺マルウェアのワークフロー出典: HUMAN SATORI

ただし、アプリが脅威アクターの広告キャンペーンのいずれかを通じてリンクをクリックしてインストールされたと判断された場合、ソフトウェアは Firebase Remote Config を使用して、広告詐欺マルウェアモジュール、キャッシュアウトサーバー、および JavaScript ペイロードの URL を含む暗号化された構成ファイルをダウンロードします。

次に、アプリは研究者やセキュリティソフトウェアによって分析されたのではなく、正当なユーザーのデバイスにインストールされたかどうかを判断します。

アプリがこれらのチェックに合格すると、ステガノグラフィーを使用して悪意のある APK の一部を隠し、広告詐欺キャンペーン自体を実行するために使用される 4 つの PNG 画像がダウンロードされます。