ゲートウェイからエンドポイントまでの包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ株式会社(本社:東京都、代表取締役社長:ピーター・ハレット、以下チェック・ポイント)は、Googleの公式ストアGoogle Playに侵入した「Judy」と呼ばれる自動クリック・アドウェアによる、広範囲な広告詐欺のマルウェア攻撃を発見したことを発表しました。
Judyマルウェアは、韓国企業「Kiniwini」(Google Play登録名は「ENISTUDIO corp」)が開発した42アプリに潜んでいました。他の複数の開発者が作成したものを含めると、 51種のJudyマルウェア感染アプリが見つかっています。
Judyマルウェアは、感染したデバイスを利用して広告の不正クリックを大量に発生させ、加害者に不当な収益をもたらします。Judyマルウェアが潜む不正アプリのダウンロード数は少なく見積もって450万件、最大1,850万件に上り、計850万~3,650万人のユーザに拡散している可能性があります。不正コードがいつ潜入したかは明らかでなく、拡散がどの程度進んでいるのかの実態は不明です。
JudyアプリのうちKiniwini以外の開発者による最も古いものは最終更新が2016年4月だったため、この不正コードは少なくとも1年以上検出されずにGoogle Playに潜伏していたことが分かっています。
Judyも、以前Google Playに侵入したFalseGuideやSkinnerなどのマルウェアと同様に、C&Cサーバと連携して動作する仕組みになっています。チェック・ポイントの連絡を受け、Google Playストアは該当するすべてのアプリを直ちに削除しました。
Judyはバナー広告を不正にクリックさせるだけでなく、場合によっては広告を大量に表示し、それを消すためにクリックし続けなければならない状況にユーザを追い込みます。関連するほとんどのアプリには高評価が付いていますが、DressCodeなど過去のマルウェア同様に、評価が高いからといって必ずしも安全に使えるわけではありません。ハッカーはアプリをユーザが高く評価するように誘導することもできます。公式のストアでもユーザの安全は担保されないため、未知のモバイル・マルウェアを検知し、ブロックできる高度なセキュリティ対策を導入する必要があります。
Judyの詳細、振る舞い、不正アプリのリスト、SHA256のリストはブログ<http://www.checkpoint.co.jp/threat-cloud/2017/05/judy-malware-possibly-largest-malware-campaign-found-google-play.html>を参照ください。