AppsFlyerは、モバイルアプリの広告効果を最大化するための世界シェアNo.1のデータ分析・アトリビューションプラットフォームです。
どの広告経由でアプリがインストールされたか、その後のユーザ行動(購入など)を計測・分析し、不正広告の検知やマーケティングの最適化を支援します。
先日、このAppsFlyerが脅威活動の環境となってしまっていたことが確認されています。
どんな様子だったのでしょう。
- Webサイトを訪問する
被害者は普通にWebサイトを訪問します。
訪問すると被害にあります。
その訪問したWebサイトが、AppsFlyer SDKを読み込むようになっていた場合は、です。 - 勝手にJavaScriptを送り込まれる
特定の時期、AppsFlyer SDKの本家の環境では、正規のSDKの機能は失わない状態のまま、ベンダーが意図しない追加の悪意ある難読化されたJavaScriptコードを送り込まれてしまう状態になっていました。
その時期は、少なくとも、UTCの3月9日22時45分から3月11日であると考えられます。 - 暗号資産のウォレットアドレスが書き換えられる
勝手に送り込まれたJavaScriptは、そのWebブラウザ環境で書き換え機能を提供する状態になります。
書き換えるのは暗号資産のウォレットアドレスです。
フォーム入力やネットワークリクエストの内容を解釈し、そのなかに暗号資産のウォレットアドレスが含まれている場合に攻撃者が指定するアドレスに書き換えてしまいます。
そのウォレットアドレスが送金先だった場合、本来移動される宛先にはなにも送金されず、攻撃者の手元に送金される動きとなってしまいます。
今回の問題はすでに対応が完了されていると公表されています。
問題の内容は配布されていたソフトウェアが意図したもの以外を含んでいたという問題であり、AppsFlyerにある顧客情報が侵害されて漏洩したなどという事象ではなかったということです。
しかしAppsFlyerにあるSDKの公開場所については脅威アクターに変更されてしまっていたといえます。
ペイロードは信頼できるSDKの場所から配信されたため、この防御は簡単ではなかったと考えられます。
対象のウォレットは、Bitcoin、Ethereum、Solana、Ripple、TRON、と広いものでした。
そして、AppsFlyer SDKを設置しているWebサイトは世界中の1万5000社以上の企業に及びます。
この膨大な数のWebサイトを訪問した利用者にこの被害にあった可能性が考えられます。
利用者としてできることは多くありませんが、対象期間に対象の暗号資産の送金操作を実施していたことがある人は、送金処理が意図した状態に完了できたのかを確認しておくことがよさそうです。
Hijacked at the Source: A Trusted Marketing AppsFlyer’s SDK distributes a Crypto Stealer
https://profero.io/blog/hijacked-at-the-source-a-trusted-marketing-appsflyers-sdk-distributes-a-crypto-stealer
| この記事をシェア |
|
|---|
