セキュリティ研究者のアクセル・アプブリル氏は最近、 AdThiefに関する論文を発表しました。AdThiefは、感染したとされる7万5000台のデバイスから広告収入を奪うことを目的としたマルウェアです。2014年3月に初めて発見され、「spad」としても知られるこのマルウェアは、Cydia Substrateの拡張機能に偽装されており、パブリッシャーのパブリッシャーIDをマルウェア作成者のIDに置き換え、事実上すべての広告収入をマルウェア作成者に帰属させることが判明しました。
パブリッシャーIDは、広告プラットフォーム上のパブリッシャーアカウントを識別するために使用され、当該パブリッシャーが獲得した収益を追跡するのに役立ちます。マルウェア作成者は、パブリッシャーのパブリッシャーIDを自身のIDとすり替えることで、約2,200万件の広告から収益を奪うことができました。つまり、感染したユーザーが広告をクリックすると、アプリケーションやウェブサイトの開発者ではなく、攻撃者に広告収益がもたらされることになります。
このマルウェアは、Google傘下のAdMobとGoogle Mobile Adsを含む15の広告ネットワークの広告キットを標的とするように設計されており、少なくとも米国ではモバイル広告の大きなシェアを占めています。AdThiefの標的となった他の米国企業には、AdWhirl、MdotM、MobClickがあります。残りの標的となった広告ネットワークはすべて中国またはインドのものでした。
マルウェアコードに残されていたデバッグ情報のおかげで、セキュリティ研究者は作成者を追跡し、モバイルプラットフォームを専門とする中国人ハッカー、Rover12421氏であると特定しました。彼はいくつかのフォーラムで「zerofile」を名乗っており、AdMobのパブリッシャーIDスワッパーの開発に携わっていたことを認めていますが、コードのさらなる開発やマルウェアの拡散への関与を否定しています。
現時点では、Cydia Substrate拡張機能がジェイルブレイクされたデバイスにどのように侵入するかは不明です。Cydiaのサードパーティ製パッケージ、おそらくデフォルト以外のリポジトリからインストールされた後にデバイスに侵入したのではないかと推測されます。現時点では、影響を受けているかどうかを確認する方法は分かっていません。いつものことですが、海賊版リポジトリを追加しているジェイルブレイクユーザーは、他のユーザーよりも影響を受ける可能性が非常に高いと考えられます。
今年4月には、ジェイルブレイクされたiOSデバイスを標的とする新たなマルウェアが登場しました。「Unflod」と呼ばれるこのマルウェアは、感染したデバイスのApple IDとパスワードを取得し、中国のIPアドレスに送信することが確認されました。
今のところ AdThief についてはほとんどわかっていないため、読者の皆さんには、追加するリポジトリやダウンロードするパッケージについて注意するよう警告することしかできません。
AdThiefに関する詳細情報
- アクセル・アヴリルによる論文
- クロード・シオのブログ
- Reddit (/u/eljefeargentino に感謝します)
