Chamois は、以下のような機能を持つ Android の PHA ファミリーです。
- 広告内に誤解を招くグラフィックを表示するポップアップを悪用した無効なトラフィックの生成
- バックグラウンドで自動的にアプリをインストールすることによる作為的なアプリのプロモーション
- プレミアム テキスト メッセージの送信による電話詐欺
- 追加プラグインのダウンロードと実行
広告エコシステムの妨害
Chamois は、通常の広告トラフィックの品質評価を行っている際に発見されました。Chamois に基づく悪意のあるアプリを分析したところ、いくつかの方法を使って検知を避け、誤解を招くグラフィックを表示させて広告をクリックさせようとしていることがわかりました。その結果、SMS 詐欺を行う別のアプリがダウンロードされることがあります。そのため、有害なアプリへの対策方法を使って Chamois アプリ ファミリーをブロックし、広告システムを操作しようとしていた攻撃者を排除しました。
以前にもこのような広告詐欺アプリに対応したことがあったため、広告主や Android ユーザーを守るための処置を迅速に行うことができました。悪意のあるアプリは端末のアプリ一覧には表示されないので、ほとんどのユーザーは迷惑なアプリを見ることもアンインストールすることもできません。そのため、ユーザーが PHA を発見して削除するために役立つ有害なアプリへの対策方法がとても重要になります。
Chamois の仕組み
Chamois は、現在 Android で知られている PHA ファミリーの中でも最大級のもので、複数のチャンネルで配布されています。私たちが知る限り、Google が最初に Chamois を正式に検知してトラッキングしました。
Chamois には、以下のような他にはない多数の特徴があります。
- 多段ペイロード: Chamois のコードは、次の図に示すように、それぞれ異なるファイル形式を利用して 4 段階で実行されます。
このような多段階にまたがるプロセスを持っているので、悪意のある部分にたどりつく前にそれぞれの層をはがしてゆく必要が生じ、この種のアプリをただちに PHA として特定するのが難しくなっています。しかし、Google のパイプラインはこういったシナリオに適切に対処できるよう設計されているので、このようなトリックに欺かれることはありません。
- 自己防衛: Chamois は難読化や分析回避技術を使って検知を避けようとしていますが、Google のシステムはそれに対抗して適切にアプリを検知します。
- 暗号化されたカスタム ストレージ: このファミリーは、設定ファイルや追加コードに暗号化されたカスタム ファイル ストレージを使うため、PHA を詳しく把握するためには、細かい分析が必要になります。
- サイズ: セキュリティ チームは、プロのデベロッパーによるものと思われる 10 万行以上の洗練されたコードを分析しました。APK のサイズがかなり大きいことから、Chamois を詳細に把握できるまでにしばらく時間がかかりました。
PHA に対抗する Google のアプローチ
アプリの確認は、PHA であると判断されたアプリがダウンロードされたときに警告を行うことによって、ユーザーを既知の PHA から守り、そのようなアプリがすでにインストールされている場合は、それをアンインストールできるようにします。また、アプリの確認は Android エコシステムの状態を監視し、異常が見つかるとその調査を行います。さらに、端末の動作を分析して、未知の PHA の検出をサポートします。たとえば、Chamois がダウンロードしたアプリの多くは、
DOI スコアラーで高いランクが付けられています。私たちは、Herole の脅威からユーザーを守ることができるように、アプリの確認のルールを設定しています。
Google は今後も、Android やその広告システムの不正対策技術に大規模な投資を続けていきます。Chamois のような PHA に対抗するために水面下で働いている多くのチームは私たちの誇りです。
本記事が、ますます複雑化している Android ボットネットに対する洞察の一助となれば幸いです。Google の PHA への対抗策についての知識をさらに深めれば、ユーザー、端末、広告システムの脅威を減らすことにつながります。詳しくは、まもなく公開される「2016 年 Android セキュリティ総括」レポートをご覧ください。
Posted by
Takeshi Hagikura - Developer Relations Team