あなたのスマホに入っているPDFリーダーが、知らぬ間に毎日広告を回し続けていたかもしれません。PDFリーダーなど一見無害なアプリを装い、Google Playストア経由で2,400万回もインストールされたAndroid向け広告詐欺キャンペーン「Trapdoor」が確認されました。Human Securityのリサーチャーが報告した内容で、攻撃者は1日あたり6.59億件もの偽広告入札を発生させ、数百万ドル(数億円)規模の不正収益を得ていたとされています。直接ユーザーの口座から課金される類のマルウェアではないものの、自分の端末が知らぬ間に詐欺インフラの一部として動き続けていた可能性がある、という構図が今回の本質です。
455本・2,400万DL——Playストアをすり抜けた規模
Human Securityのリサーチチーム「Satori」が今回発見したのは、455本のアプリと183個のC2(コマンド&コントロール)ドメインを組み合わせた大規模な広告詐欺ネットワークです。Android Headlinesが伝えています。
問題のアプリは、PDFリーダーをはじめとするユーティリティアプリとして配布されていました。表向きは説明通りに動作するため、ユーザーが不審に思う要素はほとんどなかったといいます。これら455本の合計ダウンロード数は2,400万回を超えており、すでにGoogleはSatoriチームからの通知を受けてPlayストアから削除済みです。
偽アップデートから始まる感染フロー
Trapdoorの巧妙さは、インストール直後ではなく時間差で動き出す点にあります。以下のような流れで広告詐欺が成立します。
- ユーザーが「PDFリーダー」等の正規アプリをPlayストアからインストールする
- しばらく経つと「アップデートが必要です」というポップアップが表示される
- そのアップデートは偽物で、実際には別の隠しアプリがダウンロードされる
- 隠しアプリは目に見えないWebView経由で攻撃者管理下のHTML5ドメインを読み込む
- そこから広告リクエストが発行され、入札・課金が回り続ける
表示された広告は誰の目にも触れません。それにもかかわらず広告主側では入札と費用が発生し、攻撃者が広告ネットワーク経由で収益を得る構図です。
1日6.59億件の偽入札、被害は広告主側に
報告によると、Trapdoorは1日あたり6.59億件の入札リクエストを生み出していました。これは広告主と広告ネットワーク利用企業が、見られることのない広告枠に対して毎日6.59億回も入札していたことを意味します。攻撃者はこの仕組みで広告予算を吸い上げ、数百万ドル(数億円)規模の利益を上げていたと伝えられています。
この脅威について、Human Securityは単一カテゴリに収まらないものだと位置づけています。
「Trapdoorは、デジタル広告エコシステムへの脅威がきれいにカテゴリ分けできるものではないことを思い出させる事例だ」(Human Security)
さらに、「マルバタイジング(悪性広告)を介した配布と、隠れた広告詐欺によるマネタイズを融合させることで、Trapdoorは各段階が次の段階の燃料となるパイプラインを作り出している。マルバタイジングが二次的なアプリインストールを促し、そのアプリが不正な広告収益を生み、その収益がさらなるマルバタイジングキャンペーンの資金になる」とも説明されています。
心当たりのPDFリーダーは即アンインストール——ユーザー側の対応
Googleは通報を受けてすでに該当455本をPlayストアから取り下げており、新規ダウンロード経路は塞がれています。ただし、すでに端末にインストール済みの場合は、Playストアから消えていても端末上のアプリは自動で消えるわけではありません。心当たりのあるPDFリーダーやユーティリティアプリで、インストール直後に身に覚えのない「アップデート要求」のポップアップが出た記憶がある場合は、すぐにアンインストールするのが妥当な対応です。
該当アプリの全リストはHuman Securityが公開しており、Android Headlinesの記事からも参照できます。アプリ単体の挙動だけで判断するのが難しい手口のため、見覚えのないユーティリティアプリは整理を進めておくのが安全です。
研究者の目をすり抜ける「選択的起動」と対分析機構
Trapdoorが大規模化できた背景には、解析環境では悪性挙動を見せないという徹底した回避設計があります。セキュリティ研究者がPlay Storeから直接ダウンロードしたり動的解析のためにサイドロードした場合は良性の挙動しか観測されず、悪性ペイロードは攻撃者自身の広告キャンペーン経由でインストールしたユーザーに対してのみ起動する仕組みです。
確認されている対分析機構
- SDK偽装:正規SDKを模倣するコード構造を持ち、検査をすり抜けようとしています
- C2応答に含まれる検知シグナル:/api/referrerリクエストの応答にルート化端末の検知、デバッグ検知、VPN利用の検知が組み込まれています
- 地理的偏在:不正活動は米国に集中していたものの、日本、オーストラリア、ロシア、ニュージーランド、インドなど複数地域でもトラフィックが観測されています
HUMAN公式発表ではピーク時の入札リクエストは1日4億8,000万件を記録しています。
連鎖するHTML5キャッシュアウト網——Satoriが追う「同根のエコシステム」
Trapdoor単体ではなく、HUMANのSatoriチームが過去1年で追跡してきた一連のキャンペーンと共通基盤が見えてきている点も重要です。HTML5キャッシュアウトドメインを収益化レイヤーとして用いる手法は、SlopAds、Low5、BADBOX 2.0でも観測されており、Trapdoorは同じパターンの延長線上にあります。
| キャンペーン | 規模 | ピーク時の入札リクエスト |
|---|---|---|
| SlopAds | 224アプリ・3,800万DL超 | 1日23億件 |
| Low5 | 3,000超ドメイン・63アプリ | 1日約20億件・最大4,000万デバイス |
| Pushpaganda | 113ドメイン | 7日間で約2億4,000万件 |
| Trapdoor | 455アプリ・183ドメイン | 1日6.59億件 |
Pushpagandaは2026年4月にHUMANが公表したばかりの脅威で、短期間に大量の入札を発生させる収益化レイヤーが連続して観測されている状況がうかがえます。GoogleはTrapdoor関連アプリをPlay Storeから一斉削除し、Google Play Protectが既知のTrapdoor関連挙動を示すアプリから自動的にユーザーを保護する仕組みも整えています。
Q&A
Q. 「Trapdoor」に感染しているか確認するにはどうすればよいですか? PDFリーダー等のユーティリティアプリを開き、インストール後に「アップデートが必要」と促されて別アプリを入れさせられた経験がないか確認します。該当する可能性があれば、アンインストールするのが妥当です。該当アプリの全リストはHuman Securityが公開しているため、リストと照合するのも有効です。
Q. Googleが削除済みなら、もう安心して大丈夫ですか? 新規ダウンロード経路は塞がれましたが、すでに端末にインストール済みのアプリは自動的には消えません。被害を防ぐには、ユーザー自身が該当アプリを手動で削除する必要があります。
Q. ユーザー自身に金銭的被害はありますか? Human Securityの説明では、Trapdoorは見えない広告を再生させて広告主から課金を奪う仕組みであり、直接ユーザーの口座から課金される類のマルウェアではないとされています。被害の中心は広告主と広告ネットワーク利用企業側にあります。
出典
- Android Headlines — 24 Million People Downloaded These Malicious Android Apps Without Knowing It
- HUMAN Security — Satori Threat Intelligence Alert: Trapdoor Funnels Malvertising into Ad Fraud
- GovInfoSecurity — Android Ad Fraud Operation Generates 659M Bid Requests
