少なくとも1000万台の「Android」デバイスが「HummingBad」と呼ばれるマルウェアに感染していると、サイバーセキュリティソフトウェアメーカーのCheck Point Software Technologiesが報告した。

Check Pointは、このマルウェアが2月に発見されてから監視を続け、この脅威を分析した結果を報告した。それによると、感染数は変化の少ない状態が数カ月間続いた後、5月中旬になって急増したという。

HummingBadが特に注目される理由は、その背後にいる組織の存在だ。Check Pointによると、開発チームが所属しているのは、北京に本拠を置くYingmobという一見合法的な企業で、数百万ドル規模の取引がある広告分析会社だという。

イスラエルに本拠を置くCheck Pointは、現地時間7月1日に公開した分析レポートの中で次のように述べた。「Yingmobでは、複数のチームが合法的な追跡プラットフォームと広告プラットフォームを開発している。悪質なコンポーネントの開発を担っているのは『Development Team for Overseas Platform』（国外向けプラットフォーム開発チーム）で、4つのグループに計25人の従業員が所属している」

HummingBadはまず、「ドライブバイダウンロード攻撃」を仕掛ける。これは、ユーザーがスマートフォンで特定のウェブサイトを訪問したときに、マルウェアを感染させる手口だ。

「最初のコンポーネントは、デバイスでrootアクセス権を獲得するために、（中略）複数の脆弱性を悪用したルートキット（ソフトウェア）を利用する。これに成功すると、攻撃者はデバイスのアクセス権を完全に掌握する。rootの獲得に失敗すると、第2のコンポーネントが偽のシステム更新通知を表示し、ユーザーをだましてHummingBadにシステムレベルのアクセスを許可させようとする」（Check Point）

こうして掌握されたアクセスは、強制的にアプリをダウンロードさせたり広告をクリックさせたりするために使われる。これによりYingmobは、毎月最大30万ドルに及ぶ不正な広告収入を得ているとみられる。

ただし、ここで問題となるのは、不正な広告収入だけではない。というのも、この組織は、携帯電話へのアクセス権を販売したり、携帯電話に保存されている情報を公開したりできるからだと、Check Pointは指摘する。同社の試算によると、8500万台を超えるスマートフォンにYingmobのアプリがインストールされているが、その中で悪意あるソフトウェアが含まれるのはごくわずかだという。

被害者の大半は中国とインドのユーザーで、それぞれ160万件と135万件の感染例が報告されている。フィリピン、インドネシア、トルコも上位をうかがう勢いだ。米国では28万8800台のデバイスが感染しており、英国とオーストラリアは、どちらも10万台未満となっている。