アドフラウド(広告詐欺)の瞬間をリアルタイムで暴いてみた (前編)

昨今、アドフラウド (広告詐欺)により多くの広告が被害にあっています。

その被害額は年間で数百億円以上にのぼるとも言われており、広告における大きな問題となっています。

今回、スマートフォンの通信を解析して、アドフラウドが行われる瞬間を捉えましたので、その手口を紹介します。

正常、感染したスマホの通信を比較

1
正常なAndroidスマートフォンとマルウェアに感染したAndroidスマートフォンの2台を用意して、GooglePlayでアプリをインストールする際の通信内容を比較します。

マルウェアとは不正な動作をするウイルスのようなもので、一見は問題ないアプリに組み込まれているケースが多いです。
上記画像右側のスマホには、予めマルウェアが含まれているアプリをインストールしておきます。

画像左:GooglePlay以外のプラットフォームで公開されているマルウェアが含まれているアプリ
画像右:GooglePlayで公開されているマルウェアが含まれているブラウザアプリ


アプリをインストールすると・・・

2台のスマホで同じアプリを同時にインストール開始します。
(開始したタイミングのズレでログの量に若干の差があります)
2

通信ログを見てみるとGoogle Playのサーバーと通信しているのがわかります。
これらはアプリをダウンロードするために必要な通信で、問題ありません。

しかし、右のスマホがインストール完了した途端、大量に通信をはじめました。

右のスマホの通信内容を見ると、「impression」「imp」という文字列が出てきています。
これは広告ネットワークに広告を表示したという通信です。

続いて「Click」という文字が出てきました。
これは広告をクリックしたという通信です。

通常はWebサイトやアプリに広告が表示され、
それをクリックしてからGoogle Playに飛んで、
アプリのインストールを行います。
8

しかし、今回のケースでは広告の表示やクリックを一切行っていないのに、
スマートフォンに入り込んだマルウェアが広告の表示やクリックを偽装していました。
(アドフラウド対策をしている広告事業者では、このようなクリックは除外されています)

あなたのスマホも感染しているかも!?
アドフラウドは、非常に高度化しています

このような手口をインストールハイジャックと呼び、一般人のスマホにマルウェアとして忍び込み、広告成果の横取りに利用されてしまいます。
そういったマルウェアは一見何も問題ないアプリに見えるため、気づかず間にアドフラウドの踏み台にされてしまうことも。

一連の流れを動画にしましたのでご覧ください。

 

今回アドフラウドを行っていたアプリは、Google Playで1,000万以上DLされ、レビューも★4.3で、使いやすいブラウザアプリでした。
そのようなアプリは他にも他にもたくさんあると思われます。
(マルウェアを仕込んだのはアプリ内の外部ライブラリ(SDK)による可能性もあるので、アプリ開発者が犯人とは限りません)

もし、自社のアプリがアドフラウド被害にあっていないか気になる方がいらっしゃいましたら、
こちらからご連絡いただければ簡単な調査を行います。

インストールハイジャックというアドフラウドが及ぼす問題点については、ブログの後編でお伝えします。
後編は来週更新予定です。

Phybbitはアドフラウド対策を進める全ての広告主、広告事業者を応援します。
アドフラウド対策に関するご相談はこちらからお気軽にお問い合わせください。

お問い合わせ