セキュリティソフトのベンダーであるAvastは本日、Avastのモバイル脅威インテリジェンスプラットフォーム「apklab.io」によって、Google Play ストア上に50のアドウェアアプリを発見したことを発表しました。Avastが「TsSdk」と名付けた、このアドウェアは、各アプリ5000～500万回もダウンロードされていることが明らかになっています。このアドウェアは常に全画面広告を表示するものです。ユーザに別のアプリをインストールするように誘導するアプリも発見されています。

このアドウェアアプリ「TsSdk」は、サードパーティのAndroidライブラリを使用して相互にリンクされており、新しいバージョンのAndroidで導入されているバックグラウンド実行の制限を回避しています。Google Play ストア上でバイパス自体は明確には禁止されていませんが、AvastはそれらのアプリをAndroid:Agent-SEB [PUP] として検出しました。これらのアプリは、Google Play ストアのルールに反して、ライブラリを利用してより多くの広告をユーザに継続的に表示します。

AvastはすでにGoogleにアドウェアアプリの削除を要請しています。Avastは、アドウェアの初期バージョンに「TsSdk」という名前が含まれていたため、このアドウェアを「TsSdk」と名付けました。

始まり

Avastは同社のモバイル脅威インテリジェンスプラットフォーム「apklab.io」を使用して、Google Play ストア上の2種類の「TsSdk」に同じコードが含まれていることを発見しました。2種のうち、より長く提供されていたアプリは360万ダウンロードされており、シンプルなゲーム、フィットネス、写真編集アプリに含まれていました。ダウンロード数が多かった国はインド、インドネシア、フィリピン、パキスタン、バングラデシュ、ネパールです。

TむsSDKを含アプリの例

TsSDK」を含むほとんどのアプリは、旧バージョンを含めて、一度インストールされるとGoogle Playのページで広告されているように見えますが、ショートカットがホーム画面にダウンロードされ、ユーザが画面を開いたときに全画面広告が表示されます。ユーザが端末を使用する際、定期的に広告が表示される場合もあります。ユーザに別のアプリをダウンロードさせるコードを含んでいるアプリもあります。古いサンプルの多くでは、感染したデバイスのホーム画面に、さまざまなゲームを宣伝する「Game Center」のショートカットが追加されていることを確認しています（http://h5games.top/）。

「H5GameCenter」という名称は、Avastが2018年に発見したAndroidにプレインストールされているアドウェア「Cosiloon」でも確認されています。この2つの関連性について、Avastの研究者はまだ確認できていません。

アドウェアコードの更新

「TsSDK」を含む新しいバージョンは音楽とフィットネスアプリに含まれており、約2800万回ダウンロードされていました。このアプリが最もインストールされたのは、フィリピン、インド、インドネシア、マレーシア、ブラジル、英国です。新バージョンのコードは、Tencent Packerを使って暗号化されており、保護が強化されていました。アナリストが解読することも難しい状態でしたが、「apklab.io」での動的分析で容易にキャプチャすることができました。

新バージョンは、全画面広告を実行する前にいくつかのチェックを行います。前提として、ユーザがFacebook広告をクリックしてアプリをインストールした場合にのみ、アドウェアが起動します。アプリはFacebook SDKの機能「延期されたディープリンク」を利用して、ユーザの動作を検知することができます。

 このアドウェアは、アプリがダウンロードされてから最初の4時間以内に広告を表示しますが、その後の表示頻度は高くありません。最初の4時間以内はデバイスのロックが解除された際、または、毎時15分、30分、45分と15分ごとに全画面広告が表示されるということがコードから確認できています。

新バージョンのアドウェアはAndroidバージョン8.0以降では動作しないようです。これは、バージョン8.0からバックグラウンドサービスの管理方法が変更されたためです。サンプル数が多いため、Avastは各アプリから最新のAPKのみをリスト化しました。

Google Play ストアおよびFacebookページのスクリーンショットはこちらから入手可能です。旧バージョンのアドウェアの多くはGoogle Play ストアに掲載されていましたが、GoogleはすでにPro Piczooなどのアプリを削除しました。Pro Piczooは100万回以上ダウンロードされていました。

アドウェアを避けるためのヒント

• アプリをダウンロードするときは注意してください。新しいアプリをダウンロードする前に良いレビューも悪いレビューも確認しましょう。アプリが通知の通りに動作しているかを評価しているユーザがいないか確認すべきです。もしアプリのレビューに「このアプリは記載通りの動作をしない」や「このアプリにはアドウェアが含まれている」といったコメントがあった場合、アプリをダウンロードすべきかどうか再検討する必要があります。
• アプリが何に対してアクセス許可を求めているかを常にチェックし、その要求が正当か否かを確認してください。不正な権限を与えると、デバイスに保存されている連絡先、メディアファイル、個人的なチャットの内容などの機密情報がサイバー犯罪者に送信される可能性があります。不適切な権限を求めてきた場合は、アプリをダウンロードすべきではありません。
• 信頼できるアンチウイルスアプリをインストールしてください。アンチウイルスアプリは、セーフティーネットとして機能し、アドウェアに感染したアプリを検知して、好ましくない不要なアプリからユーザを保護します。