「SimBad」という新種のアドウェアを含む「Android」アプリが1億5000万回近くユーザーによってダウンロードされ、スマートフォンにインストールされた可能性がある。
このアドウェアは「RXDrioder」という広告関連のソフトウェア開発キット(SDK)に仕込まれており、影響を受けたすべてのアプリはRXDrioderを使って、広告をユーザーに表示する方法を制御していた。
しかし、イスラエルのサイバーセキュリティ企業Check Pointが現地時間3月13日に米ZDNetと共有したレポートによると、RXDrioderの開発者らはこっそり自らのキットのコードを使って、ほかのアプリの内部にマルウェアを隠し、デバイスを乗っ取って、自らの利益のために広告を表示していたという。
「開発者はだまされて、この悪意あるSDKを内容に気づかずに使っていたと思われる。このキャンペーンは特定の国家をターゲットしたものでも、同一の開発者によるアプリだけに影響するものでもない、とわれわれは考えている」(Check Point)
Check Pointは、公式の「Google Play」ストアにアップロードされた200以上のAndroidアプリの中に、この悪意ある広告キットが存在することを確認した。これらのアプリは、1億5000万回近くダウンロードされた。
影響を受けるアプリの大半はレースゲームやシューティングゲームだった。
Check Pointによると、RXDrioderキットには、広告関連のSDKに必要のない機能が多数含まれていたという。
例えば、RXDrioderはアプリのアイコンを隠す機能を備えていた。これは、Androidマルウェアによく見られる手法だ。この機能の唯一の目的は、悪意あるアプリを見えなくすることで、ユーザーにアンインストールされにくくすることだ。
SimBadの運用者はこれを主に私的利益のために悪用していた、とCheck Pointは述べている。
SimBadの運用者は、RXDrioder SDKを統合したすべてのアプリに命令を送信し、実際の開発者から隠れてそれらのアプリを制御することができた。
提供:Check Point
Check Pointによると、SimBadの運用者は主にSDKの広告オーバーレイ機能を悪用して、自らの広告を表示させていたという。ほかにも追加の広告を表示するためにブラウザで特定のURLを強制的に開いたり、Google Playストアや9Appsなどで特定のアプリにユーザーを誘導したりすることも可能だった。
アドウェアのコードからCheck Pointが明らかにした機能はほかにもある。SimBadはカスタマイズされた通知を表示したり、ユーザーの気づかないうちに指定したサーバから新しいアプリをインストールすることもできるようになっていた。
本稿執筆時点までに、RXDrioder SDKを使用し、SimBadによる制御に対して脆弱なすべてのアプリはGoogle Playストアから削除された。
Check PointのR&DグループマネージャーであるJonathan Shimonovich氏は、「Googleの対応は迅速だった」と米ZDNetに電子メールで語った。「Googleは数週間でアプリを確認して、独自の調査を実施し、アプリを削除した」(Shimonovich氏)
SimBadの影響を受けたアプリの名前とパッケージ名のリストはCheck Pointのレポートで確認できる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。