Bleeping Computerは3月18日(米国時間)、「Malicious Android 'Vapor' apps on Google Play installed 60 million times」において、Androidユーザーを標的とする悪意のある300以上のアプリが発見されたと報じた。

これは広告マーケティング企業「Integral Ad Science(IAS)」の脅威研究所により発見された。「Vapor」と名付けられたこれらアプリは、全画面の侵入型インタースティシャル広告を大規模に展開するとされる。

  • Malicious Android 'Vapor' apps on Google Play installed 60 million times

    Malicious Android 'Vapor' apps on Google Play installed 60 million times

Bitdefenderの追加調査

Integral Ad Scienceが3月5日に発表した報告によると、合計5,600万回以上ダウンロードされた180以上のアプリから、毎日2億回以上の広告入札リクエストが生成されたという(参考:「IAS Threat Lab Uncovers Extensive Fraud Scheme Leveraging Fake Android Apps - Integral Ad Science」)。

しかしながら、Bitdefenderが3月18日に公開した最新のレポートによると、これはより大規模な進行中の詐欺キャンペーンとされ、合計6,000万回以上ダウンロードされた少なくとも331のアプリが確認されたとしている(参考:「Hundreds of Malicious Google Play-Hosted Apps Bypassed Android 13 Security With Ease」)。

Bitdefenderによると、これらアプリはAndroidのセキュリティを回避し、フォアグラウンドで実行されていない状況下においても動作し、権限がなくても全画面広告を継続的に表示できるという。アプリは主に次のユーティリティに偽装して配布され、ブラジル、米国、メキシコ、トルコ、韓国に被害者が多いとされる。

  • QRスキャナー
  • 経費節約アプリ
  • 健康アプリ
  • 壁紙アプリ
  • 悪意のあるアプリの例 - 引用:Bitdefender

    悪意のあるアプリの例 引用:Bitdefender

Bitdefenderは複数のアプリを分析し、多くのアプリに共通する機能を解説している。その概要は次のとおり。

  • インストール後、ユーザー操作を必要とせず動作する
  • アイコンを非表示にして存在を隠蔽する
  • アプリ名を「Google Voice」など公式アプリに偽装して削除を回避する
  • アプリを起動しなくても動作する
  • 権限がなくても全画面表示を可能にする
  • 広告表示を強制する
  • デバイス情報を窃取する
  • FacebookやYouTubeなど、オンラインアカウントの認証情報を窃取する
  • クレジットカード情報を窃取する

影響と対策

今回発見されたアプリの多くは2024年第3四半期にGoogle Playからリリースされた。当初は悪意のないアプリだったが、アップデートでマルウェアに差し替えられたことが確認されている。

アプリの大部分はすでにダウンロードできなくなっているが、Bitdefenderによると、調査を完了した1週間後に15のアプリがGoogle Playからダウンロード可能だったという。

  • 調査後に新しくリリースされた悪意のあるアプリの例 - 引用:Bitdefender

    調査後に新しくリリースされた悪意のあるアプリの例 引用:Bitdefender

攻撃者はGoogleのアプリ審査を突破して公式ストアから配布する手法を確立しているとみられ、今後も攻撃が継続するものと推測されている。そのため、Androidユーザーには信用できないアプリをインストールしないことが推奨されている。