ホーム » アドウェア

標的型RATと同一のファイルレス活動を持つMac向けアドウェア「Bundlore」を解析

投稿日:2021年10月1日
脅威カテゴリ:不正プログラム, 攻撃手法
執筆:Trend Micro

リモートアクセストロジャン（RAT）である「NukeSped」のサンプルの調査中、トレンドマイクロは、NukeSpedに散見されるものと同一のファイルレスルーチンを使用している「Bundlore」アドウェアのサンプルを複数検出しました。

RATであるNukeSpedを拡散させているのは標的型の攻撃者であるLazarusとされています。Lazarusは2014年以降、活発に攻撃を展開しています。NukeSpedの亜種は複数確認されており、多くは32ビットシステム上で稼働するように設計されています。検出回避を狙う活動として、暗号化された文字列を使用しています。最近では、Lazarusによるサイバー諜報活動の一環として、NukeSpedをより複雑化した「ThreatNeedle」と呼ばれるRATも出現しています。次に、Bundloreは、正規アプリのダウンロードを偽装し、ターゲットのデバイスにアドウェアをインストールするマルウェアファミリーです。本サンプル中から検出した、暗号化されたMach-Oファイル（macOSでの実行可能形式ファイル）は、Bundloreアドウェアのステルス活動をメモリに内在する脅威、つまりファイルレス活動へとアップグレードしていました。また、BundloreはmacOS向けのアドウェアであり、昨年は当時の最新バージョンであるmacOS Catalinaでの攻撃が確認されていました。

(さらに…)

海賊版ソフト配布サイトから不正プログラムが拡散される手口を解説

トレンドマイクロは、情報窃取型マルウェア「CopperStealer」やアドウェア「LNKR」を含む複数の不正プログラムへ連鎖して感染させる海賊版ソフトウェア配布サイトを多数調査しました。これらの検体は通常、ペイ・パー・インストール（Pay Per Install, PPI：インストールごとに費用が支払われるモデル）のアフィリエイトネットワークを介して頒布されます。トレンドマイクロの解析では、弊社が発見したCopperStealerの検体は感染端末の表示言語が中国語に設定されていたり、サンドボックス内で実行あるいはデバッガ内で解析されたりするとすべての不正活動を終了する解析困難化の活動を持っていました。また、このCopperStealerを起点とする攻撃では、以下のような不正活動が感染環境で行われるものとわかりました：

・特定のWebブラウザに保存されたGoogleアカウントや各種SNSなどの認証情報やCookieを取得する

・悪意のあるブラウザ拡張機能をインストールする

・利用者のソーシャルメディア上での情報を取得する

・ブラウザ上から入力された内容を詐取する

・表示されたWebページに広告を注入する

・広告のIDを改変し、広告収入を横取りする

(さらに…)

新しい検出回避機能を備えたAndroid向けアドウェアがGoogle Playから拡散

投稿日:2019年11月27日
脅威カテゴリ:モバイル, 攻撃手法
執筆:Trend Micro

トレンドマイクロは、Android向けの正規アプリマーケットである「Google Play」上で新たに、ゲームアプリやカメラアプリを偽装した49個の不正アプリを確認しました。これらは、モバイルデバイス内に隠れて広告を表示させる典型的なアドウェアですが、同時にアンインストールおよび検出を回避する機能も備えていました。これらのアドウェアはすでにGoogleによってGoogle Playから削除されています。ただし、削除される前には合わせて300万を超えるダウンロード回数を確認しており、多くの利用者が被害に遭ったものと考えられます。

(さらに…)

「App Store」と「Google Play」上で偽ギャンブルアプリが多数拡散

投稿日:2019年10月15日
脅威カテゴリ:不正プログラム, モバイル, サイバー犯罪, サイバー攻撃, 攻撃手法
執筆:Trend Micro

iOSの「App Store」とAndroidの「Google Play」、この二つの正規プラットフォーム上にアドウェアやマルウェアの混入した偽アプリが潜り込んでいることはさほど珍しくなくなっているようです。今回、トレンドマイクロは、正規アプリストアであるApp StoreおよびGoogle Play上で、アプリ概要欄の説明と内容が違うコンテンツを含む数百の偽アプリを確認しました。偽アプリは、表面上は一般的な正規アプリのように見えますが、ギャンブルアプリの側面を隠し持っていました。また、日本のアプリストア上でもダウンロード可能で、一部のアプリ概要欄では日本語が使用されているものもありました。
(さらに…)

フォトアプリやゲームアプリを装うアドウェアをGoogle Playで確認、800万回以上ダウンロード

今日のモバイルプラットフォームは、ユーザにとって場所や時間を問わず手軽に利用可能なものとなっています。ネット詐欺師やサイバー犯罪者が目を付けて、収益のために利用しようと考えるのは想定可能な成り行きです。例えば、無害を装うアドウェアをユーザにインストールさせることで、広告収益を上げることが可能になります。アドウェアは煩わしく迷惑なものにすぎないと考えられているかもしれませんが、モバイル広告詐欺およびアドウェア関連の事例は2018年、広範的に確認されており、企業に多額の経済的実害をもたらしています。
(さらに…)

ゲームおよびカメラアプリに偽装したアドウェア111個をGoogle Playで確認

広告費においてモバイル広告が占める割合は年々増加しており、米国における2019年のモバイル広告支出は160億米ドル（2019年7月16日時点で約1兆7000億円）を超えると推定されています。この傾向に伴って、サイバー犯罪者も、ますます巧妙な手法を使用するアドウェアを介して不正に利益を得ようとし続けるでしょう。
(さらに…)

Google Playにアドウェアを含む偽アプリ、既に900万回ダウンロード

投稿日:2019年1月10日
脅威カテゴリ:モバイル
執筆:Trend Micro

ユーザの望まない広告表示活動を行う「アドウェア」は、長い間ユーザを煩わせてきた課題であり、現在もその状況は変わりません。事実、トレンドマイクロは2018年12月に、Android端末向けアドウェアアプリ（「AndroidOS_HidenAd」ファミリとして検出）を85個確認しました。これらのアドウェアアプリは、Google Play上で、ゲーム、テレビ視聴、およびテレビ用リモコン等のアプリに偽装しており、世界全体で合計約900万回ダウンロードされていました。Googleはトレンドマイクロの通知を検証し、迅速にこれらの偽アプリを公開停止にしました。

確認された偽アプリは、全画面広告の表示、アイコンの隠ぺい、端末ロック解除操作の監視機能を備えており、アイコンを非表示にした後はバックグラウンドで動作を続けます。

図 1：アドウェアが埋め込まれたGoogle Play上の偽アプリ

(さらに…)

自動クリックで広告収入を稼ぐAndroid版アドウェア「GhostClicker」を確認

投稿日:2017年8月18日
脅威カテゴリ:モバイル, TrendLabs Report
執筆:Trend Micro

自動クリックで広告収入を稼ぐAndroid版アドウェア「GhostClicker」を確認

トレンドマイクロは、Google Play 上に公開された 340個のアプリに、広告のクリックを自動的にカウントするアドウェアが組み込まれているのを確認しました。弊社は、このアドウェアを「GhostClicker（ゴーストクリッカー）」（「ANDROIDOS_GHOSTCLICKER.AXM」として検出）と名づけました。問題の GhostClicker が組み込まれたアプリの1つに、既に 100万回以上ダウンロードされている「Aladdin’s Adventures World」というゲームアプリがあり、これ以外にも、クリーナやブースタのような最適化ツール、ファイル管理、QRスキャナやバーコードスキャナ、マルチメディアレコーダやプレーヤ、充電管理ツール、GPSやナビゲーションアプリなどが確認されています。

(さらに…)