GhostClicker: すべての広告をクリックするマルウェアに感染した 340 個の Play ストア アプリ

トレンドマイクロの研究者は、GhostClicker アドウェアの開発者が、Google Play ストアの 340 以上の Android アプリにマルウェアを注入したことを発見しました。そのうちの 100 個以上が Google の公式アプリケーション ストアにまだ存在しています。

過去には、最も有名なものだけを挙げると、Chamois、FalseGuide、HummingBad、Viking Horde、DressCode、Calljam、Skinner など、多くのアドウェア ファミリが Google Play ストアに感染することに成功しました。

このマルウェアの開発者は、Google Play ストアのセキュリティの弱点を悪用して、最も疑わしいユーザーのスマートフォンを汚染します。にもかかわらず、Play ストアのセキュリティを強化するための Google の取り組み、問題は残ります。

目的を達成するために、これらの開発者は、ソフトウェアから悪意のあるコードを分離する複数のコンポーネントの間。また、セキュリティ テストの実行を遅らせ、セキュリティ テストの実行を開始しないようにする手法も使用します。

GhostClicker はこうして侵入に成功しましたGoogle Play ストアの 340 のアプリケーション。その悪意のあるコードは Google の GMS API と Facebook Ad SDK に分割され、その後、アンチサンドボックス チェックが使用され、スマートフォンのユーザー エージェントに、ほとんどの Android サンドボックス アプリケーションで一般的に使用される用語「nexus」が含まれている場合、マルウェアが起動されなくなりました。

これら 2 つのトリックにより、GhostClicker 開発者はほぼ 1 年間アドウェアを拡散することができました。トレンドマイクロによると最初のアプリケーションは 2016 年 8 月に感染しました。さらに、このマルウェアは長年にわたって進化しており、動作するために管理者権限さえ必要としません。

具体的にはこのソフトはGoogle AdMob 広告が自動的にクリックされます開発者にお金をもたらすためです。さらに、GhostClicker は、Play ストアからアフィリエイト リンク、YouTube ビデオ、またはその他のアプリにユーザーをリダイレクトするために、ポップアップや広告も表示します。 GhostClicker の目標は、開発者に利益をもたらすことであることは明らかです。ユーザーデータを盗むように設計されたものではありません。

トレンドマイクロは、このアドウェアを主に、アプリ クリーナー、メモリ ブースター、ファイル マネージャー、QR コード スキャナー、メディア プレーヤー、GPS ナビゲーション アプリケーションなどのアプリケーションで発見しました。感染したアプリケーションの 1 つ、アラジンの冒険の世界、されています500万回以上ダウンロードされました

340 個の感染したアプリケーションのうち、Play ストアに残っているのは約 100 個だけです。残念ながら、トレンドマイクロは影響を受けるアプリケーションのリストを明らかにしていません。ただし、被害者のほとんどは東南アジアにいますのでご安心ください。迷ったらお気軽にご相談くださいアドウェアを取り除くためのチュートリアル