マカフィーは8月28日、公式ブログにおいて、同社のモバイルマルウェアリサーチチームが、Google Playストアでクリック詐欺マルウェア 「Android/Clicker」を発見したことを伝えた。

クリック詐欺マルウェアは、正規アプリと同じAPI呼出しやパーミッションを使用しているため検知が困難な場合があるほか、Web広告をクリックするような悪意ある動作は、マルウェア実行時に攻撃者のサーバからダウンロードされるため、マルウェアには悪質なコードが含まれていないという特徴があるという。

この特殊な方法を用いることで、攻撃者はクリック詐欺行為を任意のタイミングで実行可能になっている。

マカフィーのモバイルマルウェアリサーチチームは、Google Playストアで、TubeMate 2.2.9 SnapTube YouTube Downloader J.という開発者によって配布されていたクリック詐欺マルウェア「Android/Clicker」を発見。

この開発者によって配布されていた5つのアプリは8月4日にアップデートされた数日後に、開発者のプロフィールと共にGoogle Playストアから削除されたことも確認しているという。

TubeMate 2.2.9 SnapTube YouTube Downloader J.が配布しているアプリ

Google Playストアで配布状況を確認すると、無意味なアプリ名称であったり、アプリの説明が記載されていなかったりといったことがわかる。これらの情報は、マルウェアだと断定できるものではないが、マルウェアや詐欺アプリに感染するリスクを回避するために役立つ指標になる。

クリック詐欺マルウェア

このマルウェアをインストールすると、メニュー画面にはGoogle Playストアからダウンロードしたアプリとは違うアイコンが追加される。登録されたアイコンは一見するとシステムユーティリティのように見えるという。マルウェアによって作成されたアイコンの例は以下のとおり。

マルウェアによって作成されるアイコン

マルウェアのサンプルによって動作が異なりるが、起動するとWebViewを使用してYouTubeのトレンドチャンネルを表示するサンプル、画面をロックして画面を暗転させるサンプル、バックグラウンドでのクリック詐欺実行中にアプリがクラッシュしてしまうサンプルなどが確認されているという。

クリック詐欺は広告業者にとって害があるだけではなく、感染した端末上で不要な通信を発生させ、端末のバッテリー消費やパフォーマンスに影響を及ぼし、別の悪質なコードが実行される危険性を含んでいる。