ここから本文です

1400万台に感染したAndroidマルウェア「CopyCat」、端末をroot化して広告詐欺

7/7(金) 8:44配信

ITmedia エンタープライズ

 セキュリティ企業のCheck Point Software Technologiesは7月6日、世界で1400万台のAndroid端末に感染を広げたモバイルマルウェアを発見したと伝えた。感染した端末のうち約800万台をroot化し、推定1500万ドルの不正な広告収入を上げていたことが分かったとしている。

【Check Pointが世界の感染状況をまとめている】

 同社はこのマルウェアを「CopyCat」と命名した。感染は東南アジアを中心に、米国、欧州など世界各地で確認されているという。

 Check Pointによると、CopyCatは感染した端末をroot化し、端末に常駐して、Androidでアプリの起動に使われるZygoteにコードを挿入。その端末上で行われる一切の行動をコントロールできる状態にしてしまう。

 感染拡大のピークは2016年4月~5月ごろで、人気アプリにマルウェアを組み合わせてリパッケージし、サードパーティーアプリストアからダウンロードさせる手口や、フィッシング詐欺の手口が使われていた。ただ、Googleの公式アプリストア「Google Play」で配信された形跡はないとしている。

 Googleは2017年3月にCheck Pointから連絡を受けて、CopyCatの感染拡大を封じ込めることができたと説明しているという。現時点での感染端末はピーク時に比べると大幅に減ったものの、既に感染していた端末は今も影響を受けている可能性がある。

 CopyCatは最先端の技術を使って広告詐欺を展開していたことも分かった。Zygoteのアプリ起動プロセスに不正なコードを挿入し、アプリの実際のリファラーIDを自分たちのIDに置き換えることによって利益を得ていたほか、広告を不正にポップアップ表示させたり、端末に不正なアプリを直接インストールさせたりする手口も使われていたという。

 モバイルマルウェアは広告業界から利益をだまし取る目的で、巧妙な手口を使っているとCheck Pointは解説。ユーザーや企業も、センシティブな情報が流出したり、端末をroot化されることによってセキュリティ対策が機能しなくなるといった深刻なリスクにさらされると指摘している。