スペインの新聞社で偽のアンチウイルスを装うモバイル広告とアプリを使った高額請求

2月にスペインの新聞社でドライブバイダウンロードを利用したマルウェアが発見された後、スペインでまた別の新聞社のウェブサイト上に不正広告が掲載されていたことが判明しました。今回はニュースを読んでいると、スケア広告、そして有料サービスへの申し込みへと誘導されます。

この現象はこの新聞社のオンラインニュースサイトのトップページで発生します。広告を何もクリックしなくても、自動的に以下のポップアップウィンドウが表示されます。

まず、感染が疑われることを告げるポップアップ(図1)か、アプリケーションのアップデートを促すポップアップ(図2)が表示されます。どちらにしても、これらの広告は通常、ユーザーを有料サービスのダウンロードへとリダイレクトします(図3)。これを承認(あるいは間違ってクリック)すると、おそらく1ユーロの価値もないアプリケーションに対し、毎週4.99ユーロを支払うことになります(図4および図5)。

図1. 偽の感染警告。これは電話が感染していても、していなくても表示されます。フランス語で「...ページで確認されました。メモリ警告! ご使用の電話に重大なウイルスが7つ確認されました。下のOKボタンをクリックし、復旧作業を開始してください」と書かれています。OKをクリックすると、偽のオンラインスキャニングを行うサイトへリダイレクトされ、最終的には携帯電話のクリーニングアプリへとリダイレクトされます。

図2. アプリのプロモーション。このようなポップアップウィンドウが表示されることもあります。このページには(フランス語で)「(URL)ページで確認されました。Whatsapp用の最新壁紙へのアップデートがご利用可能です」と書かれています。このメッセージはWhatsAppのインストールの有無にかかわらず表示されます。OKをクリックすると、図3や図4のようなページへとリダイレクトされます。

図3. Battery Boosterアプリのプロモーション広告。アプリケーションをダウンロードすると、毎週4.99ユーロの有料サービスに申し込むこととなります。

図4. 図3のようなプロモーション広告に表示されていたアプリのダウンロードを承諾すると、このページが表示されます。「Confirmer」(Confirm、確認)をクリックすると、有料サービスへの申し込みが確認されます。このケースでは週4.99ユーロです。請求は携帯電話会社を介して行われます。

図5. SMSでの請求通知(ドイツ語で): 「Handyquizでのサービス加入に対し、4.99ユーロの支払いを行いました。お申込みのサービス内容は...でインターネット上からご覧いただけます」

幸いなことに、今のところダウンロードされたアプリケーション(Battery BoosterあるいはClean Master)は不正なものではないことがわかっています。しかしこれも、マルウェアAndroid/FakeInst に見られるような、アプリを利用した高額請求の事例だと言えるでしょう。

なぜ携帯電話では迷惑広告がこれほどひどいのか

迷惑広告は新たな現象ではありません。PC上では何年も前から存在しています。PCに関してはさまざまな広告ブロッカーが開発されてきました。携帯電話では以下の理由から、こうした広告が特に迷惑なものとなっています。

  1. エンドユーザーの中には限定的なインターネットサービスにしか申し込んでいない人もおり、こうした広告トラフィックに対して料金が発生します。
  2. 携帯電話では間違ってクリックしてしまうことが多く、プレミアムSMSに対して数ユーロが請求されてしまうことがあります。ページをロードしても時間がかかり、我慢しきれなくなって色々な個所をクリックしてしまうと、有料サービスへの申し込みを承認してしまうこともあります(図4)。
  3. 画面全体が広告で覆われてしまうことがあります。ブラウザによっては、そのページを簡単に後ろへ持っていったり、閉じたりすることができない場合もあります。

ウェブサイトクリーニングをするべき?

多くのウェブサイトにも関係のあることですが、そろそろスペインの新聞社はウェブサイトのクリーンアップを行う必要があるのではないでしょうか。偽の警告や申込み画面を表示させていた広告プロバイダを特定するのは難しく(ホップが複数)、また以下のようないろいろなパスが考えられるため、無意味だと言えるでしょう。

  • スペインの新聞社(名前は控えます)
  • hxxp://ams1.ib.adnxs.com/...
  • hxxp://ads.yahoo.com/st?ad_type=...
  • hxxp://spaces.slimspots.com/directclick/?uid=56...
  • hxxps://establishconnection.com/...
  • hxxp://whatsapp-update.com-org.co/...
  • hxxp://seth.avazutracking.net/tracking/redirect/...

ですからセキュリティの観点からは、ウェブマスターに対してすべての広告プロバイダを一斉に削除してしまうことをお奨めします。

ダウンロードの76%が純粋に広告トラフィック

以下の数字を心に留めておいてください。このスペインの新聞社のニュースを読んでいる際に、私たちは 10366のIPパケットをキャプチャしました。

  • うち本当にニュースを含んでいたものは2491のみ
  • 残りの 7875パケット(76%)は純粋に広告トラフィック
  • ニュースを読んでいる間に私たちのウェブブラウザが接触した広告関連のドメイン名は100以上

ウェブサイトは収益を生み出す広告と決別することができるでしょうか? これは私の仕事の範疇を超えた疑問ですね。

- the Crypto Girl