Android端末をターゲットにGoogle AdSenseの広告経由でマルウェアを自動でダウンロードさせる手口が横行

By Jonathan Chen

Googleが提供している広告配信プラットフォームである「Google AdSense」経由でマルウェアをばらまき、銀行詐欺を行うという驚くべき手法の存在が明らかになりました。

Google stops AdSense attack that forced banking trojan on Android phones | Ars Technica
http://arstechnica.com/security/2016/11/google-stops-adsense-attack-that-forced-banking-trojan-on-android-phones/

悪意のあるGoogle AdSense広告とゼロデイアタックの組合わせを利用し、AndroidのChromeブラウザ経由で端末に感染して最終的には銀行詐欺を働くというマルウェアの存在が明らかになりました。このマルウェアのファイル名は「Banker.AndroidOS.Svpeng」で、2ヵ月以上の期間にわたってGoogle AdSenseの広告経由でインターネット上でばらまかれています。この悪意のある広告はAndroidの脆弱性を突き、自動でマルウェアファイルを端末にダウンロードさせるというものだったそうです。

セキュリティ関連ソフトウェアを開発するカスペルスキーによると、「31万8000台のAndroid端末がこのマルウェアに感染している」とのことです。ただし、マルウェアファイルは自動で端末にインストールされるわけではありません。マルウェアファイルはAPKファイルとしてダウンロードされるのですが、ユーザーが手動でインストールしてしまうように最新のブラウザアップデートなどに偽装しているわけです。

すでにカスペルスキーはこのマルウェアについてGoogleに報告済みで、Googleも対策を済ませているためにGoogle AdSense経由で悪意のある広告が配信されることはなくなっています。カスペルスキーの研究者であるニキータ・バックラ氏とアントン・キーヴァ氏は、「これまでのところ、マルウェアを用いた詐欺はロシアのスマートフォンユーザーしかターゲットにしていません。しかし、AdSense経由で行う攻撃を他の国々に広げる可能性もありますし、実際、そういった事例を過去に見たことがあります。何千何万というモバイル端末に悪意のあるマルウェアをダウンロードさせようと思った時、最も有名な広告配信プラットフォームを利用する以外により効果的な方法はありません」とGoogle AdSense経由でマルウェアをばらまく手法の影響力を指摘しています。

なお、GoogleのスポークスマンはChromeのバージョン54でファイルを自動ダウンロードしてしまう脆弱性を修正したことを明らかにしています。さらにスポークスマンは、Androidのセキュリティ機能により、悪意のあるアプリをインストールしようとした場合にはOSが警告を表示するとも主張。ただし、なぜ悪意のある広告がGoogle AdSenseのセキュリティチェックを通過したのかについてはなんの説明もありませんでした。

2016年11月の第1週にも似たような手口でマルウェアがばらまかれていたことが明らかになっています。これを見つけたのはセキュリティ企業のCylanceで、Google AdWords経由でmacOSを狙うマルウェア広告が公開されていたとのこと。カスペルスキーの研究者によると、Googleがこれらの広告の配信を停止するのはとても迅速だったそうですが、「これは先を見越したアプローチではなく反応的なアプローチなので、悪意のある広告はブロックされたものの、既に何千という端末の中にマルウェアが忍び込んでしまっている」とコメントしています。

なお、こういったマルウェアに感染しないようにするには、Google公式のアプリストアであるGoogle Playで配信されているアプリ以外をインストールしないこと、とカスペルスキーは注意を促しています。また、アプリのインストールを推奨してくるウェブページに対して「より懐疑的になること」もマルウェアの感染を防ぐことにつながるとしています。