偽広告モジュールを使用した多数の不審なアプリをGoogle Play上で確認

2013/06/07

先のブログで日本のユーザーをターゲットとしたGoogle Play上で増え続ける悪質なアダルト出会い系アプリについて報告しましたが、5月中旬以降、マカフィーは、それら詐欺まがいの悪質な出会い系サイトへのユーザーの誘導を助長するような、多数の不審なアプリの増加も確認しています。

これらの不審なアプリは、それぞれ目的を持ったアプリとして実装されています。画像閲覧アプリや掲示板まとめアプリ、人気ゲーム攻略法アプリ、無音カメラアプリ等がありますが、中には先のブログで報告した悪質アダルト出会い系アプリも含まれています。

掲示板まとめアプリや無音カメラアプリとして公開されている不審なアプリ

人気ゲーム攻略法情報アプリとして公開される不審なアプリ

これらのアプリをインストールすると、サーバからAndroid端末上のアプリへのプッシュ通信機能 Google Cloud Messaging (GCM) を用いたバックグラウンド・サービスが登録・実行されます。これにより、アプリ開発者は任意のタイミングでユーザーの端末に対し情報を送信することができ、事前に登録されたバックグラウンド・サービスはその情報に応じた動作を行うことができます。このバックグラウンドの動作は、該当アプリ自体が起動・実行されていない状態でも行われます。

このプッシュ通信の機能自体は、一般的に主要なAndroid端末向け広告ネットワークのためのSDK等でも使用されることがあり、ユーザーの端末のシステム通知エリアに任意の広告を表示させることが可能です。アプリ開発者はその広告モジュールをアプリに含めることによる通知エリアへの広告表示、または広告を経由したユーザーの購入等によって収益を得ることができます。

今回確認した不審なアプリをインストールした端末上で、プッシュ配信される情報の内容を調査したところ、先のブログで報告したような悪質なアダルト出会い系Webサイトへの誘導ページが表示される場合があることがわかりました。配信される情報が常に悪質サイトへのリンクというわけではなく、Google Play上の他のアプリのインストールを促すリンクである場合もあります。しかし、悪質サイトへの誘導が複数回確認されていることから、このプッシュ配信は悪意または危険があるものと言わざるを得ません。

不審なサーバーからのプッシュ広告配信による悪質な出会い系サイトへの誘導(1)

不審なサーバーからのプッシュ広告配信による悪質な出会い系サイトへの誘導(2)

不審なサーバーからのプッシュ広告配信による悪質な出会い系サイトへの誘導(3)

今回のプッシュ配信が危険である理由としてはさらに、これらの広告もどきの情報の配信がアプリ外で行われる旨を事前にユーザーに対し全く通知・説明していないこと、アプリのインストール時や初回起動時にユーザーがこれらの情報の配信を拒否する機会が全く与えられていないことが挙げられます。このような無許可の通知広告はユーザーによって紛らわしく、意図せず危険なサイトへ誘導される可能性が高いのです。

私たちは、Google Play上でこの不審な広告モジュールを含む多数のアプリの存在を確認しており、また、同種のアプリがほぼ毎日のようにアップロードされていることも確認しています。本記事の執筆時点で、私たちは累計約350個のアプリを確認しています。そのうち約160個が現在でもGoogle Play上で公開中です(その他は何らかの理由で削除された模様)。公開中のアプリのダウンロード総数は約20,000〜70,000回、既に削除されたアプリも含めるとそれ以上に上ると考えられます。

毎日のように公開される不審なアプリの例

この広告モジュールを提供するサービスは一般に公開されていません。そのため正規の広告ネットワーク業者が提供するものではなく、これらのアプリ開発者自身が管理するサーバーを用いて独自に運用しているものであると私たちは推測しています。したがって、この広告モジュールは、アプリ開発者が正規の広告ネットワーク業者による広告モジュールを模して実装した偽の広告モジュールであるとも言えます。

偽の広告ネットワークによるプッシュ配信を用いた悪質ソフトウェアとしては、Android/BadNewsというマルウェアが以前話題となりました。Android/BadNewsマルウェアは、偽の広告ネットワークによるプッシュ配信により、高額なSMS送信を行う他のマルウェアのインストールをユーザーに促すものでした。このマルウェアの場合は、広告モジュールがアプリ自体とは独立して実装・提供されていたようですが、今回日本で確認したアプリでは、独立したモジュールというよりはアプリの実装コード自体に直接組み込む形の実装になっています。

今回の不審な偽広告モジュールを組み込んだアプリは、Google Play上の複数の開発者アカウントにて多数公開されていますが、各アプリの実装コードの類似性やアプリのパッケージ名の命名規則等から、それぞれ同一の開発者あるいはグループによって開発・公開されたものではないかと推測しています。また、これらのアプリの開発者は悪質なアダルト出会い系サイトへの誘導アプリ自体も公開していることから、彼らは悪意を持った開発者であり、この偽広告モジュールを異なるジャンルの多数のアプリに含ませてGoogle Play上で公開することで、悪質サイトへ誘導するユーザー数を増加させようと企んでいる可能性があります。

不審アプリと同一の開発者によって公開されたと思われる悪質出会い系アプリ

McAfee Mobile Securityは、この不審な偽広告モジュールを含んだアプリをAndroid/BadPush.Aとして検出します。