0001へっぽこ立て子@エリオット ★
2019/03/14(木) 13:13:02.53ID:CAP_USERこのアドウェアは「RXDrioder」という広告関連のソフトウェ開発キット(SDK)に仕込まれており、影響を受けたすべてのアプリはRXDrioderを使って、広告をユーザーに表示する方法を制御していた。
しかし、イスラエルのサイバーセキュリティ企業Check Pointが現地時間3月13日に米ZDNetと共有したレポートによると、RXDrioderの開発者らはこっそり自らのキットのコードを使って、ほかのアプリの内部にマルウェアを隠し、デバイスを乗っ取って、自らの利益のために広告を表示していたという。
「開発者はだまされて、この悪意あるSDKを内容に気づかずに使っていたと思われる。このキャンペーンは特定の国家をターゲットしたものでも、同一の開発者によるアプリだけに影響するものでもない、とわれわれは考えている」(Check Point)
Check Pointは、公式の「Google Play」ストアにアップロードされた200以上のAndroidアプリの中に、この悪意ある広告キットが存在することを確認した。これらのアプリは、1億5000万回近くダウンロードされた。
影響を受けるアプリの大半はレースゲームやシューティングゲームだった。
Check Pointによると、RXDrioderキットには、広告関連のSDKに必要のない機能が多数含まれていたという。
例えば、RXDrioderはアプリのアイコンを隠す機能を備えていた。これは、Androidマルウェアによく見られる手法だ。この機能の唯一の目的は、悪意あるアプリを見えなくすることで、ユーザーにアンインストールされにくくすることだ。
SimBadの運用者はこれを主に私的利益のために悪用していた、とCheck Pointは述べている。
SimBadの運用者は、RXDrioder SDKを統合したすべてのアプリに命令を送信し、実際の開発者から隠れてそれらのアプリを制御することができた。
https://japan.cnet.com/storage/2019/03/14/576805e2e94ea98e63c86f5b0fa8f0dc/simbad.png
提供:Check Point
Check Pointによると、SimBadの運用者は主にSDKの広告オーバーレイ機能を悪用して、自らの広告を表示させていたという。ほかにも追加の広告を表示するためにブラウザで特定のURLを強制的に開いたり、Google Playストアや9Appsなどで特定のアプリにユーザーを誘導したりすることも可能だった。
アドウェアのコードからCheck Pointが明らかにした機能はほかにもある。SimBadはカスタマイズされた通知を表示したり、ユーザーの気づかないうちに指定したサーバから新しいアプリをインストールすることもできるようになっていた。
本稿執筆時点までに、RXDrioder SDKを使用し、SimBadによる制御に対して脆弱なすべてのアプリはGoogle Playストアから削除された。
Check PointのR&DグループマネージャーであるJonathan Shimonovich氏は、「Googleの対応は迅速だった」と米ZDNetに電子メールで語った。「Googleは数週間でアプリを確認して、独自の調査を実施し、アプリを削除した」(Shimonovich氏)
SimBadの影響を受けたアプリの名前とパッケージ名のリストはCheck Pointのレポートで確認できる。
SimBad: A Rogue Adware Campaign On Google Play - Check Point Research(英文)
https://research.checkpoint.com/simbad-a-rogue-adware-campaign-on-google-play/
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
https://www.zdnet.com/article/almost-150-million-users-impacted-by-new-simbad-android-adware/
2019年03月14日 11時44分
CNET Japan
https://japan.zdnet.com/article/35134162/