IconAdsの広告詐欺
サイバーセキュリティ研究者らは、数百もの偽装Androidアプリを巻き込んだ、広範囲に及ぶモバイル広告詐欺行為を発見し、摘発しました。IconAdsと呼ばれるこのキャンペーンは、巧妙な回避策を駆使し、公式アプリストアに侵入し、無防備なユーザーを搾取して巨額の広告収益を得ていました。
目次
IconAds:偽装した巧妙な広告詐欺
研究者らは最近、「IconAds」と呼ばれるAndroid向け広告詐欺ネットワークを発見しました。このネットワークは352個の悪質アプリで構成されていました。これらのアプリは、ユーザーの画面に文脈から外れた煩わしい広告を直接表示するように設計されており、デバイスのランチャーからは見えないため、手動での削除はほぼ不可能でした。幸いにも、GoogleはこれらのアプリをPlayストアから削除しました。
IconAds の運用は、ピーク時には1日あたり最大12億件の広告入札リクエストを生成していました。トラフィックは主にブラジル、メキシコ、米国から発生しており、広範囲かつ地域に焦点を絞ったターゲティングアプローチが採用されていることを示しています。
IconAds は全く新しいものではありません。HiddenAds や Vapor といった名前で追跡されている他の既知の脅威と共通の特徴を持ち、少なくとも2019年以降、Play ストアの防御を何度もすり抜けてきました。
欺瞞的な戦術と執拗な行動
IconAds の基本的な戦術は、ステルス性と持続性です。これらのアプリの特徴は以下のとおりです。
- 難読化を使用して、ネットワーク通信中にデバイス固有の情報を非表示にします。
- コマンド アンド コントロール (C2) ドメインに一貫した命名パターンを採用します。
- アプリのデフォルトの MAIN/LAUNCHER アクティビティをエイリアスに置き換えて、アプリの表示と動作を制御します。
インストール後、アプリは通常のラベルとアイコンを表示します。しかし、起動すると、再起動後も持続する隠しアクティビティエイリアスが起動し、アプリがホーム画面から消えてしまいます。この巧妙な仕掛けにより、ユーザーがアプリを簡単に見つけたりアンインストールしたりすることが困難になっています。
最終的な目標は?正規のアプリが使用されているかどうかに関係なく、ユーザーの邪魔になる全画面インタースティシャル広告を配信することです。
IconAds の亜種の中には、Google Play ストアやその他の信頼できる Google ブランドアプリを装うものがあります。これらのおとりアプリは、ユーザーを正規のアプリにリダイレクトしながら、バックグラウンドで不正なアクティビティを密かに実行します。
回避と進化:動く標的
IconAds は進化しており、新しいバージョンでは追加の回避レイヤーが組み込まれています。
- アプリがサイドロードされている場合に悪意のある動作を無効にするライセンス チェック (セキュリティ分析中の一般的な手法)。
- 静的検査と動的検査の両方を複雑にする難読化を強化しました。
これらのアプリは意図的に寿命が短く、検出後すぐに削除されることが多く、その後コードが改変され、新たなアイデンティティで再び出現します。研究者たちは、IconAdsが今後も変化を続け、様々な形で再び出現する可能性が高いと警告しています。
カレイドスコープ:邪悪な双子アプリの台頭
関連する発見として、専門家はカレイドスコープという広告詐欺行為を摘発しました。これは、研究者が「悪魔の双子」と呼ぶ手法を用いています。このモデルでは、ほぼ同一のアプリを2つ作成します。
- Google Play ストアでホストされている無害な「おとり双子」。
- 悪意のある「悪魔の双子」がサードパーティのアプリストアや偽のウェブサイトを通じて流通しています。
悪意のある相手は、ユーザーとのやり取りなしにフルスクリーン広告を使用して不正な広告インプレッションを生成し、おとりと同じアプリ ID を活用して広告主を騙し、偽のエンゲージメントに対して料金を支払わせます。
Kaleidoscopeは、元々CaramelAds SDKを使用していたKonfetyという類似のスキームの進化形です。最新バージョンでは、CaramelAdsへの参照が削除され、そのコア機能はLeisure、Raccoon、Adsclubといった新しい名称のSDKに再統合され、トラッキングとアトリビューションを阻害しています。
グローバルな展開と商業的つながり
2024年12月から2025年5月にかけて、Kaleidoscopeは幅広いAndroidユーザーに影響を与えました。特にラテンアメリカ、トルコ、エジプト、インドのユーザーに影響が及んでいます。これらの地域は、サードパーティ製アプリストアの普及率が高いため、特に脆弱です。
Kaleidoscope の主な特徴は次のとおりです。
- ユーザー入力なしで表示される全画面インタースティシャル広告。
- 悪意のあるアプリバージョンを通じてルーティングされる不正な広告表示。
- 正当なアプリ ID を偽装して広告収入を最大化します。
Kaleidoscopeの収益化の大部分は、合法的な広告収益化サービスを提供していると主張するポルトガルの企業Saturn Dynamicに起因することが判明しています。しかし、同社のインフラは、これらの欺瞞的なアプリの配信と収益化を通じて、大規模な広告詐欺を可能にする上で重要な役割を果たしていたようです。
結論:常に変化する脅威の状況
IconAdsとKaleidoscopeは、モバイル広告詐欺の進化を如実に示しています。これらの詐欺行為は、本来は無害なアプリの背後に有害なアクティビティを隠蔽することで、正当な行為と悪意のある行為の境界を曖昧にしています。こうした脅威が戦術を変化させ続ける中、アプリストア、開発者、そしてユーザーは皆、警戒を怠らず、サイバーセキュリティ専門家は、ますます巧妙化する詐欺の手口に常に先手を打つことが不可欠です。
