野心的なマルウェア作成者は、余分に金を稼ぐために、感染した Android デバイスを Apple 製品に偽装している。
SophosLabs の研究者らは、Andr/Clickr-ad マルウェアは iPhone ユーザーに届く広告の需要を利用していると述べています。広告主は Apple ファンボーイの方がお金を使うことに積極的だと考えているからです。
ソフォスがGoogle Playストアで発見したこのマルウェアは、Androidデバイスに感染し、ボットを利用してウェブサイト上で偽のクリックを生成し、マルウェア作成者に広告主から金銭を稼ぐものです。ソフォスの推定によると、懐中電灯アプリや一部のゲームに潜むこのマルウェアは、200万回以上ダウンロードされたとのことです。
Apple デバイスに届く広告はサイト所有者に高い収益をもたらすため、Clickr-ad マルウェアは、感染した Android デバイスに不正クリックを行う際に iPhone として表示されるよう指示するという追加手順を踏みます。
3ve オフライン: 170 万の IP アドレスを使用する無数の Windows PC がハッキングされ、1 日あたり最大 120 億の広告を「閲覧」
続きを読む
「Clickr-ad がこれまでの例と異なるのは、アプリが生成するトラフィックの多くを、iPhone 5、6、8 などさまざまな Apple 製品から発信されているように見せかけるという巧妙な試みだ」と Sophos はこのマルウェアについて述べた。
これは、HTTPリクエスト内のUser-AgentデバイスIDとアプリIDフィールドを偽造することで実現されます。ただし、トラフィックの一部には幅広いAndroidモデルのIDも使用できるようにすることで、この手法が行き過ぎにならないように配慮されています。
ソフォスによると、このマルウェアは11月下旬にPlayストアから削除されたものの、コマンド&コントロールサーバーは依然としてオンライン状態にあり、感染したデバイスは依然として偽の広告クリックを生成しているという。クリック詐欺を阻止するには、ユーザーは感染したアプリを手動でアンインストールする必要がある。
「アプリを強制終了するだけでは効果がありません。3分後に再起動してしまう可能性があるからです。完全なアンインストールが必要です」とソフォスは説明している。
「さらなる予防策としては、すべてのデータが Google のクラウドに同期されていることを確認した後、完全な工場出荷時設定へのリセットを実行することです。」®
