セキュリティ

8500万台のAndroid端末に感染して月3000万円を荒稼ぎする中国製マルウェア「HummingBad」

By Uncalno Tekno

セキュリティ関連ソフトウェアの開発を行うCheck Pointが、世界中で約8500万台ものAndroid端末に感染し、ひと月当たり3000万円もの大金を広告詐欺により荒稼ぎする中国製マルウェア「HummingBad」の存在を明かしています。

From Humming Bad to Worse
(PDF)https://blog.checkpoint.com/wp-content/uploads/2016/07/HummingBad-Research-report_FINAL-62916.pdf


Check Pointでは約5か月間にわたり、中国発のこれまでに前例がないような驚異的なサーバー犯罪を追跡してきました。このグループは、マルウェアを用いてAndroid端末を乗っ取り、モバイル広告へのアクセス数等を不正に増加させ、ひと月に30万ドル(約3000万円)もの収入を得ていることが明らかになっています。サイバー犯罪者グループが乗っ取ったAndroid端末の数は、なんと世界中で8500万台にものぼるそうで、これらを効率的に運用して広告詐欺で資金を生み出している模様。Check Pointのセキュリティアナリストは、「こういった類いのサイバー犯罪が、今後流行するかもしれない」と語っています。

2016年2月、Check Pointのアナリストは初めて「HummingBad」と呼ばれるマルウェアに遭遇しました。同マルウェアは、インストールされたAndroid端末の中にルートキットを設け、広告詐欺を行ったり不正にアプリをインストールさせたりすることで収入を得る模様。2月以降、Check Pointではマルウェアの配布元を監視していたそうで、その数は時間と共に爆発的に増加してきています。

Check Pointが観測したマルウェア「HummingBad」の数の推移は以下のグラフの通り。横軸が時間、縦軸が観測されたHummingBadの数を示しています。


Check Pointによると、何千万台ものAndroid端末を感染させ、広告詐欺で資金を荒稼ぎするだけでなく、感染端末上にボットネットを作成して企業や政府機関を対象とした攻撃を行ったり、何千万台ものAndroidによるアクセスを販売したりもしている模様。

HummingBadの指揮統制をとっているサーバーを分析することで、Check Pointはアタッカーのリポジトリが中国でモバイル広告サーバーを運用する「Yingmob」という企業であることをつきとめています。他の調査機関などの情報をあわせると、このYingmobという企業はiOSをターゲットとしたマルウェア「Yispecter」の開発元で、HummingBadの開発元でもあることが判明。さらに、Yingmobには「Development Team for Overseas Platform」という、4つのグループに計25人の従業員が所属している開発部門が存在し、HummingBadなどのマルウェアもこの部署が開発したものとみられています。

HummingBadに感染したAndroid端末の内訳は以下の通り。8500万台の約半数がAndroid 4.4 KitKatで、40%がAndroid 4.1 Jelly Bean、その他、Android 5.0 Lollipopが7%、Android 4.0 Ice Cream Sandwichが2%、Android 6.0 Marshmallowが1%となっています。


HummingBadはいくつかの広告サーバー用SDKを乱用することで、多額の資金を生み出しています。なお、HummingBadがターゲットとしているのはモバイル広告のディスプレイ広告やクリック広告などさまざまです。Check Pointによると、HummingBadは1日で2000万回広告を表示し、その内12.5%をクリックします。よって、1日の広告クリック回数じは250万回以上です。広告1クリック辺り0.00125ドル(約0.125円)の収入が得られるため、1日当たりのクリック数から計算すると、1日の広告クリックにより得られる収入は3000ドル(約30万円)を超えます。

さらに、HummingBadは1日当たり5万回のアプリインストールを行うそうで、1つのアプリをインストールすることで0.15ドル(約15円)の収入が得られるため、不正なアプリインストールにより1日に7500ドル(約75万円)以上を稼いでいます。これらを合算すると、Yingmobは1日当り1万ドル(約100万円)、ひと月で30万ドルを荒稼ぎしていると推察できるわけです。また、YingmobはHummingBadに感染したAndroid端末8500万台を用いた新しいビジネス展開も企画中とのこと。

Check Pointは、「Yingmobは高度に組織化され、独立採算性を維持する最初の犯罪グループかもしれない」と記述しています。また、他のサイバー犯罪者たちがYingmobのモデルを採用し、経済基盤の優れた犯罪者集団が登場することを懸念しています。

この記事のタイトルとURLをコピーする

・関連記事
Macからデータを盗んだりコードを勝手に実行したりとあらゆるコントロールを奪ってしまう極悪マルウェアが登場 - GIGAZINE

世界中の防犯カメラを駆使して行われる大規模DDoS攻撃の存在が明らかに - GIGAZINE

Google Chrome経由でFacebookユーザーにマルウェア感染が広がる - GIGAZINE

ハッキングされた政府・企業の7万以上のサーバーを販売するウェブサイトの存在が明らかに - GIGAZINE

テレビを乗っ取り身代金を要求するランサムウェアが登場 - GIGAZINE

3200万件分のTwitterアカウント情報(ユーザー名・パスワード・メールアドレス)が売買されていることが明らかに - GIGAZINE

ロシア最大のSNSがハッキングされて1億ものパスワードが暗号化されずに平文で流出 - GIGAZINE

・関連コンテンツ

in モバイル,   ソフトウェア,   セキュリティ, Posted by logu_ii

You can read the machine translated English article here.