iPhoneユーザーの個人情報を盗んだり表示する広告を差し替えたりするマルウェア「SourMint」

セキュリティ企業のSnykが、App Storeに存在する1200を超えるアプリで使用されている人気の高い広告SDKが、悪意のある動作をすると報告しました。この広告SDKは「SourMint」と呼称され、広告詐欺やデータ漏洩につながる可能性があると指摘されています。

SourMint: malicious code, ad fraud, and data leak in iOS | Snyk
https://snyk.io/blog/sourmint-malicious-code-ad-fraud-and-data-leak-in-ios/

iOS ad developer kit reportedly steals click revenue, harvests user data | Appleinsider
https://appleinsider.com/articles/20/08/24/ios-ad-developer-kit-reportedly-steals-click-revenue-harvests-user-data

Snykによると、「SourMint」は2019年7月に中国のモバイル広告プラットフォームプロバイダーであるMintegralのiOS版広告SDKの中で発見されました。SourMintは広告SDKを使用しているアプリを通じて行われたURLベースのリクエストのログを記録し、ユーザーのアクティビティを記録し、個人を特定できる情報およびその他の機密情報を盗み出す可能性があります。SourMintはユーザーによる広告のクリックを不正に報告し、競合する広告ネットワークやアプリ開発者、広告パブリッシャーから潜在的な収入を盗むことにもつながるとSnykは指摘しています。

以下のムービーは広告SDK・Mintegralに仕込まれたマルウェアのSourMintが、実際に情報を盗み取る様子をデモンストレーションしたムービーです。

A demonstration of the SourMint Malicuous SDK from Mintegral - YouTube


Snykによると、Mintegralの広告SDKは一カ月で3億回以上ダウンロードされており、1200種類以上のiOSアプリで使用されているとのこと。この広告SDKを使用することで、開発者はコーディングなどなしで手軽にアプリ内に広告を埋め込むことが可能となり、アプリの収益化が容易になります。なお、MintegralはiOSだけでなくAndroid向けにも無料で広告SDKを提供していますが、記事作成時点でマルウェアの存在が明らかになったのはiOS版のSDKのみです。

Snykによると、SourMintが仕込まれた広告SDKを使用するアプリを使うユーザーが、Mintegralの広告ネットワークに属していない広告をタップするのを待つ悪意のある機能が存在するとのこと。ユーザーが広告をタップすると、SDKは広告を表示するプロセスを乗っ取り、ユーザーにMintegralの広告を表示します。

「興味深いことに、Mintegralの広告SDKは研究者がアプリの背後にある真の動作を発見できないように設計されているようで、多くのアンチデバッグ保護が含まれています」とSnykは記しています。悪意のあるコードにはスマートフォンがルート化されているかどうかを判断する特定のルーチンがあるそうで、監視されているという証拠が見つかった場合、SDKは悪意のある動作を隠すように動作を変更するとのこと。この動作により、広告SDK内の悪意のある動作がAppleによるアプリ審査プロセスに引っかからないようになっている模様です。

また、SourMintはMintegralの広告SDKを使用しているアプリ内で行われるすべてのURLベースのリクエストをキャプチャするため、リクエストされたURLだけでなく、認証トークンやその他の機密情報、アプリのコードの中でユーザーパターンの識別に役立つもの、さらにはデバイスを識別するために使用される一意の乱数で生成されるデバイス識別子(IDFA)、IMEIなどを盗み取ることが可能になります。

なお、AppleはSnykのセキュリティ研究者と協議し、Mintegralの広告SDKがユーザーに実害を及ぼしているという情報は得られていないと述べています。Appleは2020年後半にiOS 14でプライバシーとセキュリティに重点を置いたアップデートを発表しており、その理由のひとつとして「サードパーティSDKが悪意のある機能を組み込むことがあるため」と説明しています。