セキュリティソフトのベンダーであるAvastは本日、Avastのモバイル脅威インテリジェンスプラットフォーム「apklab.io」によって、Google Play ストア上に50のアドウェアアプリを発見したことを発表しました。Avastが「TsSdk」と名付けた、このアドウェアは、各アプリ5000~500万回もダウンロードされていることが明らかになっています。このアドウェアは常に全画面広告を表示するものです。ユーザに別のアプリをインストールするように誘導するアプリも発見されています。
このアドウェアアプリ「TsSdk」は、サードパーティのAndroidライブラリを使用して相互にリンクされており、新しいバージョンのAndroidで導入されているバックグラウンド実行の制限を回避しています。Google Play ストア上でバイパス自体は明確には禁止されていませんが、AvastはそれらのアプリをAndroid:Agent-SEB [PUP] として検出しました。これらのアプリは、Google Play ストアのルールに反して、ライブラリを利用してより多くの広告をユーザに継続的に表示します。
AvastはすでにGoogleにアドウェアアプリの削除を要請しています。Avastは、アドウェアの初期バージョンに「TsSdk」という名前が含まれていたため、このアドウェアを「TsSdk」と名付けました。
始まり
Avastは同社のモバイル脅威インテリジェンスプラットフォーム「apklab.io」を使用して、Google Play ストア上の2種類の「TsSdk」に同じコードが含まれていることを発見しました。2種のうち、より長く提供されていたアプリは360万ダウンロードされており、シンプルなゲーム、フィットネス、写真編集アプリに含まれていました。ダウンロード数が多かった国はインド、インドネシア、フィリピン、パキスタン、バングラデシュ、ネパールです。
TむsSDKを含アプリの例
TsSDK」を含むほとんどのアプリは、旧バージョンを含めて、一度インストールされるとGoogle Playのページで広告されているように見えますが、ショートカットがホーム画面にダウンロードされ、ユーザが画面を開いたときに全画面広告が表示されます。ユーザが端末を使用する際、定期的に広告が表示される場合もあります。ユーザに別のアプリをダウンロードさせるコードを含んでいるアプリもあります。古いサンプルの多くでは、感染したデバイスのホーム画面に、さまざまなゲームを宣伝する「Game Center」のショートカットが追加されていることを確認しています(http://h5games.top/)。
「H5GameCenter」という名称は、Avastが2018年に発見したAndroidにプレインストールされているアドウェア「Cosiloon」でも確認されています。この2つの関連性について、Avastの研究者はまだ確認できていません。
アドウェアコードの更新
「TsSDK」を含む新しいバージョンは音楽とフィットネスアプリに含まれており、約2800万回ダウンロードされていました。このアプリが最もインストールされたのは、フィリピン、インド、インドネシア、マレーシア、ブラジル、英国です。新バージョンのコードは、Tencent Packerを使って暗号化されており、保護が強化されていました。アナリストが解読することも難しい状態でしたが、「apklab.io」での動的分析で容易にキャプチャすることができました。
新バージョンは、全画面広告を実行する前にいくつかのチェックを行います。前提として、ユーザがFacebook広告をクリックしてアプリをインストールした場合にのみ、アドウェアが起動します。アプリはFacebook SDKの機能「延期されたディープリンク」を利用して、ユーザの動作を検知することができます。
このアドウェアは、アプリがダウンロードされてから最初の4時間以内に広告を表示しますが、その後の表示頻度は高くありません。最初の4時間以内はデバイスのロックが解除された際、または、毎時15分、30分、45分と15分ごとに全画面広告が表示されるということがコードから確認できています。
新バージョンのアドウェアはAndroidバージョン8.0以降では動作しないようです。これは、バージョン8.0からバックグラウンドサービスの管理方法が変更されたためです。サンプル数が多いため、Avastは各アプリから最新のAPKのみをリスト化しました。
Google Play ストアおよびFacebookページのスクリーンショットはこちらから入手可能です。旧バージョンのアドウェアの多くはGoogle Play ストアに掲載されていましたが、GoogleはすでにPro Piczooなどのアプリを削除しました。Pro Piczooは100万回以上ダウンロードされていました。
アドウェアを避けるためのヒント