はじめに
2026年1月21日、Androidデバイスを標的とした新たなタイプのクリック詐欺トロイの木馬が発見されました。このマルウェアは、従来のJavaScriptベースの不正クリックとは異なり、TensorFlowの機械学習モデルを悪用して、隠されたブラウザ広告を自動的に検出し、操作するという巧妙な手口を用いています。
モバイルセキュリティ企業Dr.Webの研究者たちによると、この脅威は機械学習による視覚分析に依存しており、広告の構造が頻繁に変わる現代の広告環境において、より効果的で耐性の高いクリック詐欺を可能にしています。
AIを駆使した巧妙な手口
このマルウェアは、Googleが開発したオープンソースの機械学習ライブラリであるTensorFlow.jsを利用しています。これにより、JavaScript環境でAIモデルを実行し、デバイス上で機械学習による分析を行うことが可能になります。
主な動作モードは二つあります。
- ファントムモード:マルウェアは隠されたWebViewベースの組み込みブラウザを使用してターゲットページを読み込み、JavaScriptファイルを実行します。リモートサーバーから学習済みモデルを読み込んだ後、隠れたブラウザは仮想スクリーンに配置され、スクリーンショットが撮られます。TensorFlow.jsがこれらのスクリーンショットを分析し、関連する広告要素を特定することで、マルウェアはユーザーの正常な操作を模倣し、適切なUI要素をタップします。この方法は、動的な広告やiframe、動画広告にも対応できるため、非常に効果的です。
- シグナリングモード:WebRTCを利用して仮想ブラウザスクリーンのライブビデオフィードを攻撃者にストリーミングします。これにより、攻撃者はリアルタイムでタップ、スクロール、テキスト入力などの操作を行うことができます。
広がる感染経路
Dr.Webが特定したところによると、このトロイの木馬は主に以下の経路で拡散しています。
- Xiaomiの公式アプリストア「GetApps」:当初は悪意のある機能なしで提出され、その後のアップデートで悪意のあるコンポーネントが追加されるという形で配布されています。感染が確認されたゲームには以下のようなものがあります。
- Theft Auto Mafia — 61,000ダウンロード
- Cute Pet House — 34,000ダウンロード
- Creation Magic World — 32,000ダウンロード
- Amazing Unicorn Party — 13,000ダウンロード
- Open World Gangsters — 11,000ダウンロード
- Sakura Dream Academy — 4,000ダウンロード
- サードパーティのAPKサイト:ApkmodyやModdroidなどのサイトを通じて、オリジナルを改変したSpotify、YouTube、Deezer、Netflixなどのアプリとして配布されています。Moddroidの「Editor’s Choice」ページに掲載されているアプリの多くが感染していると報告されています。
- Telegramチャンネル:Spotify Pro、Spotify Plus – Officialなどのアプリとして拡散されています。
- Discordサーバー:24,000人の購読者を持つDiscordサーバーで「Spotify X」と称する感染アプリがプッシュされている例も確認されています。
これらの悪意のあるアプリの多くは「実際に動作する」ため、ユーザーはなかなか疑いを抱きません。さらに、クリック詐欺は隠れたWebViewで実行されるため、被害者は悪意のある活動の兆候を全く見ることができません。
ユーザーへの影響と対策
クリック詐欺や広告詐欺は、ユーザーのプライバシーやデータに対する直接的な脅威ではありませんが、サイバー犯罪者にとっては非常に収益性の高い活動です。ユーザーにとっては、バッテリーの異常な消耗、端末の早期劣化、そしてモバイルデータ通信量の増加といった直接的な影響があります。
Androidユーザーは、Google Playストア以外からのアプリのインストールを避けることが強く推奨されます。特に、追加機能やプレミアム機能への無料アクセスを謳う人気アプリの改変版(Mod)には細心の注意を払う必要があります。