複数ライセンス割引見積
脅威データベース モバイルマルウェア Trapdoor Ad Fraud

Trapdoor Ad Fraud

モバイルマルウェアMezoまで
翻訳内容:

サイバーセキュリティ研究者らは、Trapdoorと呼ばれる高度な広告詐欺および悪質な広告配信活動を発見した。この活動は、大規模な悪意のあるアプリケーションネットワークと攻撃者が制御するインフラストラクチャを通じて、Androidユーザーを標的にしている。このキャンペーンには、455個の悪意のあるAndroidアプリと183個のコマンド&コントロール(C2)ドメインが関与しており、多段階の詐欺活動を支援するために設計された広範なエコシステムが構築されていた。

この攻撃は、ユーザーが知らず知らずのうちに攻撃者が制御するアプリケーションをインストールしてしまうことから始まります。これらのアプリケーションは、PDFリーダー、電話クリーナー、デバイス最適化アプリなど、無害なユーティリティツールを装っていることがよくあります。そして、これらの一見正規のアプリケーションが、被害者に追加の悪意のあるソフトウェアをダウンロードさせるよう圧力をかける悪質な広告キャンペーンを開始します。

多段階感染連鎖が隠れた広告詐欺を引き起こす

二次段階のアプリケーションは、不正行為の中核を成す役割を果たします。インストールされると、これらのアプリケーションは密かに隠しWebViewを起動し、攻撃者が操作するHTML5ドメインに接続し、バックグラウンドで継続的に広告を要求します。また、これらのアプリは、ユーザーに知られることなく偽の広告インタラクションを生成する、自動化されたタッチ詐欺も可能です。

Trapdoorの重要な特徴は、自己持続的なビジネスモデルです。一見合法に見えるアプリのインストールが、継続的な収益を生み出すサイクルへと発展し、さらなる悪質な広告キャンペーンの資金源となります。研究者らはまた、HTML5ベースのキャッシュアウトインフラストラクチャの使用も確認しました。これは、以前SlopAds、Low5、BADBOX 2.0といった脅威グループに関連付けられていた手法です。

ピーク時には、Trapdoorのインフラストラクチャは1日あたり約6億5900万件の入札リクエストを生成しました。この作戦に接続されたアプリケーションは2400万回以上ダウンロードされ、トラフィックの大部分は米国からのもので、キャンペーン活動の4分の3以上を占めていました。

選択的活性化により検出を回避

Trapdoorの背後にいる攻撃者は、正規のマーケティング担当者がユーザーによるアプリケーション発見方法を追跡するために一般的に使用するインストールアトリビューションツールを悪用しました。これらのシステムを操作することで、攻撃者は、悪意のある機能が攻撃者が制御する広告キャンペーンを通じて獲得したユーザーに対してのみ有効になるようにしました。

この選択的なアクティベーションメカニズムは、検出作業を著しく困難にした。Google Playストアから直接アプリケーションをダウンロードしたユーザーや、サイドローディング方式でインストールしたユーザーは、悪意のある動作に遭遇することはほとんどなかった。代わりに、被害者がキャンペーンを通じて配信された欺瞞的な広告や偽のアップデート通知に反応した後にのみ、ペイロードが作動した。

初期のユーティリティアプリケーションは、ソフトウェアアップデートの通知を模倣した不正なポップアップ通知を表示し、ユーザーに広告詐欺行為を担う第2段階のマルウェアをインストールさせるように仕向けていた。

分析やセキュリティ調査をさらに回避するため、Trapdoorは複数の解析回避および難読化技術を採用した。この攻撃では、正規のSDKを装ったり、悪意のあるコンポーネントを正常に動作するソフトウェアに混入させたりすることが頻繁に行われ、研究者や自動セキュリティシステムによるインフラストラクチャの特定がより困難になった。

Googleが事業運営を妨害するも、脅威の状況は変化し続ける

研究者による責任ある情報開示を受け、Googleは特定された悪意のあるアプリケーションをGoogle Playストアから削除し、事実上、このキャンペーンの基盤を破壊した。

Trapdoor作戦は、サイバー犯罪者がいかにして、アトリビューションプラットフォームや広告エコシステムといった正規のテクノロジーを悪用し、拡張性と回復力に優れた不正ネットワークを構築しているかを如実に示している。この作戦の背後にいる者たちは、ユーティリティアプリ、隠しWebView、HTML5キャッシュアウトドメイン、そして選択的なアクティベーション戦略を組み合わせることで、悪質な広告と大規模な広告詐欺の両方に対応できる、高度に適応性の高いフレームワークを確立した。

研究者らは、Trapdoorのような攻撃は、モバイル脅威が急速に進化していることを浮き彫りにしていると強調した。詐欺師は、検出を回避し、長期的な収益化のパイプラインを維持するために、ステルス性、段階的なペイロード配信、正規に見えるソフトウェアにますます依存するようになっている。

トレンド

メール配信可能性アラート メール詐欺

フィッシング, スパム
予期せぬメールは常に注意深く扱うべきです。特に、緊急性を装ったり、機密情報を要求したりするメールには注意が必要です。サイバー犯罪者は、個人情報をだまし取るために、フィッシングメールを信頼できるサービスプロバイダーからの正規の通知に見せかけることがよくあります。いわゆる「メール配信アラート」メールは、この手口の典型的な例です。これらのメールは、いかなる正規の企業、組織、またはメールサービスプロバイダーとも関連していません。 サイバーセキュリティ研究者らは、「メール配信アラート」メッセージが、メールサービスプロバイダーからの通知を装ったフィッシングメールであることを突き止めた。この詐欺メール...

Searchscr.com

不正なウェブサイト, ブラウザハイジャッカー, 望ましくない可能性のあるプログラム
侵入的で信頼できないPUP(潜在的に不要なプログラム)からデバイスを保護することは、プライバシー、セキュリティ、および安定したシステムパフォーマンスを維持するために不可欠です。多くのユーザーは、疑わしいブラウザ拡張機能や偽の検索エンジンに関連するリスクを過小評価し、後になって自分の閲覧履歴が監視されていたり、信頼できないウェブサイトにリダイレクトされていたりすることに気づきます。そのような疑...

Ecoaturicudses.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
インターネットを安全に閲覧するには、常に警戒を怠らないことが重要です。悪質なウェブサイトは、訪問者を騙してセキュリティとプライバシーを侵害するために、巧妙な手口を頻繁に用います。よくある手口としては、偽のCAPTCHA認証チェック、偽のマルウェア警告、信頼できるセキュリティソフトウェアからのものに見せかけた誤解を招く警告などが挙げられます。これらの欺瞞的なページは、ユーザーに「許可」ボタンを...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
31,042
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
27,134
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Eporner.com

問題
21,178
インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
読み込んでいます...