HUMANの報告によると、2025年7月3日(米国時間)、IconAdsと呼ばれる広告詐欺オペレーションが発覚し、352個のAndroidアプリがGoogleによってPlay Storeから削除された。
このオペレーションは活動のピーク時に1日12億件の入札リクエストを生成し、トラフィックの大部分はブラジル、メキシコ、米国から発生していた。
同時にIAS Threat Labは、Kaleidoscopeと呼ばれる別の広告詐欺オペレーションを発見した。この手法では正規版アプリをGoogle Playに配置し、悪意のある複製版をサードパーティアプリストアで配布する。ESETのテレメトリデータによると、2024年12月から2025年5月の期間で、ラテンアメリカ、トルコ、エジプト、インドが最も影響を受けた。
Group-IBは2025年3月にQwizzserialと呼ばれるSMS窃取マルウェアを発見し、主にウズベキスタンで約10万台のデバイスに感染していることを確認した。このマルウェアによる金融損失は2025年3月から6月の間に少なくとも62,000ドルと推定される。また、NGateやSuperCard XなどのNFC悪用マルウェアがロシア、イタリア、ドイツ、チリで感染を拡大している。
From: 
Massive Android Fraud Operations Uncovered: IconAds, Kaleidoscope, SMS Malware, NFC Scams
【編集部解説】
今回発覚した一連のAndroid詐欺オペレーションは、モバイルエコシステムの脆弱性を巧妙に悪用した事例として注目に値します。特にIconAdsの1日12億件という膨大な入札リクエスト数は、デジタル広告業界の規模感を改めて浮き彫りにしています。
技術的手法の解説:なぜ検出が困難なのか
IconAdsが採用する「activity-alias」技術は、Androidアプリの正当な機能を悪用した巧妙な仕組みです。マニフェストファイルでエイリアスを宣言することで、アプリインストール時には正常なアイコンを表示しながら、実行後に別名のアクティビティに切り替わり、デバイス再起動後も持続します。この技術により、ユーザーからの発見と削除が極めて困難になっています。
Kaleidoscopeの「悪の双子」戦略は、さらに洗練されたアプローチを示しています。正規版をGoogle Playに配置し、悪意のある複製版をサードパーティストアで配布することで、広告主を欺きながらユーザーには迷惑広告を強制表示する仕組みは、従来の詐欺手法を大きく進化させたものです。
地域特性を狙い撃ちする戦略的アプローチ
Qwizzserialがウズベキスタンを標的とした背景には、同国の金融システムがSMS認証に大きく依存している現実があります。同国では銀行のデジタル化が進む一方で、生体認証や3D Secureなどの多層防御システムの普及が限定的です。攻撃者はこうした金融インフラの特徴を熟知し、SMS認証を主要な攻撃ベクターとして悪用しています。
経済的インパクトの深刻さ
HUMAN社の分析によると、IconAdsによる詐欺的入札リクエストは、広告主に数百万ドル規模の無駄な支出を強いたと推定されています。1日12億件という数値を基に計算すると、CPM(1000インプレッション当たりのコスト)を1ドルと仮定しても、日額120万ドルの潜在的被害となります。これは単なる技術的な問題を超え、デジタル広告エコシステム全体の信頼性を揺るがす経済的脅威です。
国際的な収益化ネットワークの実態
Kaleidoscopeの収益化の大部分が、「ディスプレイ広告とビデオの収益化」を謳うポルトガル企業Saturn Dynamicに遡ることが判明しています。この事実は、モバイル詐欺が単発的な犯罪ではなく、国際的な組織的ネットワークによって運営されていることを示しています。
プラットフォーム対応の限界と課題
Google Play Protectなどの防御システムが存在するにも関わらず、これらの脅威が継続的に発生している現実は、現在のセキュリティ対策の限界を示しています。特に、サードパーティアプリストアの普及が高いラテンアメリカ、トルコ、エジプト、インドでは、プラットフォーム側の統制が及ばない領域が拡大しています。
新たな脅威:NFC技術の悪用拡大
NGateやSuperCard Xによる金融詐欺は、NFC技術の普及に伴う新たなリスクを浮き彫りにしています。これらのマルウェアは、被害者の支払いカードからのNFC信号を侵害されたスマートフォン経由で攻撃者のデバイスにリレーし、遠隔でのATM現金引き出しを可能にします。ロシア、イタリア、ドイツ、チリでの感染拡大は、この脅威の国際的な広がりを示しています。
規制環境への長期的影響
今回の事案は、モバイルアプリの配布プラットフォームに対する規制強化の議論を加速させる可能性があります。特にEUのデジタルサービス法(DSA)のような包括的な規制フレームワークが、他の地域でも検討される契機となるでしょう。
技術進歩の二面性:イノベーションとリスクの共存
これらの詐欺手法は、皮肉にも高度な技術的知識と創意工夫の産物でもあります。難読化技術、動的解析回避、OCR(光学文字認識)を用いた画像解析など、正当な技術開発で使われる手法が悪用されている現実は、技術進歩の持つ二面性を象徴しています。
未来への示唆:防御側の進化の必要性
今後のセキュリティ対策には、従来の静的な防御から、AIを活用した動的・予測的な防御システムへの転換が不可欠となるでしょう。また、国際的な協力体制の構築や、金融システムの多層化など、技術的解決策を超えた包括的なアプローチが求められています。
【用語解説】
IconAds
352個のAndroidアプリによる大規模な広告詐欺オペレーション。activity-alias技術を悪用してアプリアイコンを隠し、ユーザーの削除を困難にしながら文脈に関係のない広告を強制表示する手法を用いる。
Kaleidoscope
「悪の双子」技術を使った広告詐欺スキーム。正規版アプリをGoogle Playに配置し、悪意のある複製版をサードパーティストアで配布することで広告主を欺く。Konfetyの進化版。
Qwizzserial
主にウズベキスタンで発見されたAndroid SMS窃取マルウェア。偽の政府チャンネルを装ったTelegram経由で配布され、銀行アプリの情報や2FA認証コードを盗み、Telegramボット経由で攻撃者に送信する。
Activity-alias
Androidアプリのマニフェストファイルで宣言できる正当な機能。アプリインストール時は正常なアイコンを表示するが、実行後に別名のアクティビティに切り替わることで、アプリの存在を隠蔽する技術として悪用される。
C2(Command and Control)
マルウェアが攻撃者のサーバーと通信するための指令統制システム。感染したデバイスの制御や情報の窃取に使用される。IconAdsでは特定の命名パターンを持つドメインが使用された。
難読化(Obfuscation)
プログラムコードを意図的に読みにくくする技術。正当な目的では知的財産保護に使われるが、マルウェアでは検出回避や動的解析への抵抗のために悪用される。
NFC(Near Field Communication)
近距離無線通信技術。スマートフォンの非接触決済などに使用されるが、NGateやSuperCard Xなどのマルウェアでは金融詐欺に悪用される。
Ghost Tap
盗んだカード情報をGoogle PayやApple Payなどのデジタルウォレットに登録し、世界中で詐欺的な非接触決済を行う手法。NGateから派生した技術。
SparkKitty
AndroidとiOSの両方を標的とする新しいトロイの木馬。AppleのDeveloper Programのプロビジョニングプロファイルを悪用してApp Storeを経由せずにiPhoneに証明書を展開。OCR技術を使用して暗号ウォレットのシードフレーズを含む特定の画像を検出・窃取する。
2FA(Two-Factor Authentication)
二要素認証。パスワードに加えてSMSコードなどの第二の認証要素を要求するセキュリティ手法。ウズベキスタンの金融システムで広く採用されているため、Qwizzserialの主要な攻撃対象となった。
Saturn Dynamic
ポルトガルに拠点を置く企業で、「ディスプレイ広告とビデオの収益化」を謳う。Kaleidoscope詐欺オペレーションの収益化の大部分がこの企業に遡ることが判明している。
【参考リンク】
HUMAN Security(外部)
週20兆のデジタルインタラクションを検証し、IconAdsオペレーションの発見・阻止を行ったサイバーセキュリティ企業。
Integral Ad Science (IAS)(外部)
デジタル広告の品質測定・最適化を行う企業。IAS Threat LabがKaleidoscope詐欺オペレーションを発見。
Group-IB(外部)シンガポールに本社を置くサイバーセキュリティ企業。Qwizzserialマルウェアの発見・分析を行った。
ESET(外部)
スロバキア発のサイバーセキュリティ企業。Kaleidoscopeの影響範囲に関するテレメトリデータを提供。
Kaspersky(外部)
ロシア発のサイバーセキュリティ企業。SparkKittyトロイの木馬の発見・分析を行った。
【参考記事】
Inside IconAds: Satori Finds Fraud Even When Threat Actors Cover Their Tracks(外部)
HUMAN SecurityのSatori研究チームによるIconAds詐欺オペレーションの詳細分析レポート。
How IAS is Fighting Back Against the Shape-Shifting Kaleidoscope Scheme(外部)
IAS Threat LabによるKaleidoscope詐欺スキームの解説とSaturn Dynamic社との関連性の報告。
June’s Dark Gift: The Rise of Qwizzserial(外部)
Group-IBによるQwizzserial SMS窃取マルウェアの詳細分析と偽政府チャンネルの実態報告。
Google Wipes 350 Android Apps Tied to Major Ad Fraud Scheme(外部)
Adweekによる報道。IconAds詐欺により数百万ドルの広告費が無駄になったと推定。
Android users bombarded with unskippable ads(外部)
MalwarebytesによるKaleidoscope詐欺ネットワークの解説とユーザーへの直接的被害の報告。
【編集部後記】
今回の事案を見ていて、私たちの日常に潜むリスクの多様さと巧妙さに改めて驚かされました。皆さんは普段、アプリをインストールする際にどのような点を確認されていますか?また、SMS認証コードが届いた時、その背景にある仕組みや潜在的なリスクについて考えたことはありますでしょうか?
私たち編集部も、技術の進歩がもたらす便利さと同時に生まれる新たな脅威について、読者の皆さんと一緒に学び続けています。特に今回のような国際的で組織的な詐欺手法は、従来のセキュリティ常識だけでは対応が難しい面もあります。
皆さんの身の回りで気になるセキュリティ事例や、「これって本当に安全なの?」と感じた体験があれば、ぜひお聞かせください。一緒に未来のデジタル社会の安全性を考えていければと思います。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
