Google AdSense経由で銀行口座情報を狙うマルウェアが拡散中とカスペルスキーが警告

セキュリティ対策企業のKaspersky(カスペルスキー)が、Googleの広告配信サービスAdSenseを経由してマルウェア「Svpeng」がAndroidスマートフォンに配信されていると報告しました。カスペルスキーによると、当該AdSense広告が設置されたウェブサイトが読み込まれると自動的に悪意あるプログラムがダウンロードされるそうです。

Good morning Android! - Securelist
https://securelist.com/blog/incidents/75731/good-morning-android/

Android malware spreads using Google AdSense advertising network: Kaspersky researchers - Business Insider
http://www.businessinsider.com/android-malware-spreads-using-google-adsense-advertising-network-kaspersky-researchers-2016-8

今回明らかになった脅威は、Androidスマートフォンのユーザーがいつも通りにお気に入りのニュースサイトを見ているだけで「last-browser-update.apk」という謎のapkがダウンロードされるというもの。このプログラムはGoogle AdSenseの広告ネットワークを介してダウンロードされたもので、広告ページが表示されると自動的にダウンロードされるものだったとのこと。

カスペルスキーによると、今回AdSense経由で感染しそうになったのは「Svpeng」というマルウェアで、かねてからカスペルスキーが悪質で注意すべきものとしてマークし続けてきたものです。Svpengはモバイルフォンユーザーのデータを「人質」にとって金銭を要求する悪質なランサムウェアとして知られており、カスペルスキーは2014年から2015年にSvpengがランサムウェアとしてアメリカを中心に被害を与えている状況下で、コード内容から金融データを盗み出そうという意図があると指摘していました。その後、カスペルスキーの予想通り、Svpengは銀行口座情報を盗み出すコードを実装したことが確認されており、Svpengに感染すると銀行からの通知を装ったウィンドウから口座情報を盗み出すそうです。

現時点でフィッシング対象として確認されているのはロシアの銀行口座で、Svpengの悪用にロシアに関連する人物が関与している疑いが濃厚です。銀行口座情報を収集しようとするSvpengは他にも連絡先、通話履歴、テキストメッセージ、ブラウザのブックマーク等の情報の収集も行うとKaspersky Labの研究者は述べています。ちなみに、Svpengは「提供元不明のアプリのインストールを許可する」ことで感染可能になりますが、Androidスマートフォンのデフォルト状態でこの設定は無効の状態になっています。そのため、ユーザーがこの機能を有効化しないかぎり感染することはありません。

マルウェアがAdSenseから配信される同様のケースは、2016年7月中旬にポータルサイトMeduzaでも発生しており、その結果、MeduzaはAdSense広告を無効にしています。

Business InsiderはGoogleにAdSenseを経由でSvpengが感染する状況についてコメントを求めましたが、回答は得られていないとのことです。