Androidを開発するGoogleは、純正スマートフォンのPixelシリーズおよびAndroidにおいてソフトウェアの悪用に厳格に立ち向かっていますが、Google Playではいまだにマルウェア入りのアプリが配信されており、サードパーティー製のAndroidスマートフォンにも脆弱なものが多いため、Android全体のイメージは悪くなっています。新たに、数百万台のAndroidスマートフォンやAndroid TVデバイスにマルウェアがプリインストールされていることが明らかになりました。
Lemon Group’s Cybercriminal Businesses Built on Preinfected Devices
https://www.trendmicro.com/en_us/research/23/e/lemon-group-cybercriminal-businesses-built-on-preinfected-devices.html
Potentially millions of Android TVs and phones come with malware preinstalled | Ars Technica
https://arstechnica.com/information-technology/2023/05/potentially-millions-of-android-tvs-and-phones-come-with-malware-preinstalled/
数百万台のAndroidスマートフォンにマルウェアがプリインストールされていると最初に報じたのは、セキュリティ企業のTrend Microです。事の発端となったのは、シンガポールで開催されたセキュリティ関連カンファレンス・Black Hat。この中でセキュリティ企業のSophosが、「『Guerrilla』と名づけられたマルウェアを含む15個の悪意のあるアプリがGoogle Playで配信されている」と発表しました。Trend Microのセキュリティ研究者がGuerrillaを追跡調査したところ、約50の異なるブランドからリリースされている最大890万台のスマートフォンに、このマルウェアがプリインストールされていることが明らかになったそうです。
Guerrillaは感染したデバイスにバックドアを設置し、コマンド&コントロールサーバーと定期的に通信することで、新しい悪意のあるアップデートをインストールできるかどうかを確認しながら動作するマルウェアです。この悪意のあるアップデートは、Trend Microが「Lemon Group」と呼ぶ脅威アクターが、広告主に販売するためのユーザーデータを収集するために利用している模様。Guerrillaはバッテリー残量を枯渇させ、ユーザーエクスペリエンスを低下させる可能性のある攻撃的な広告プラットフォームを密かにインストールすることが明らかになっています。
GuerrillaはユーザーのWhatsAppセッションをハイジャックして不要なメッセージを送信したり、感染した端末からリバースプロキシを確立して影響を受けたデバイスのネットワークリソースを使用したり、正規のアプリに広告を挿入したりできる、12近くのプラグインを備えた大規模なプラットフォームになっているとのこと。
Trend Microはマルウェアがプリインストールされているスマートフォンブランドを特定できなかったとしていますが、Guerrillaに感染しているスマートフォンが最も多く存在するのはアメリカで、次いでメキシコ・インドネシア・タイ・ロシアが続いていると報じています。
Trend MicroはLemon Groupについて、「Lemon Groupがビッグデータ、マーケティング、広告会社向けに行うビジネスをいくつか確認できたものの、メインはビッグデータの利活用にあるようです」と言及しました。
これに続き、TechCrunchがAmazonで販売されているAndroid TVデバイスにもマルウェアがプリインストールされていると報じました。
Popular Android TV boxes sold on Amazon are laced with malware | TechCrunch
https://techcrunch.com/2023/05/18/popular-android-tv-boxes-sold-on-amazon-are-laced-with-malware/
TechCrunchによると、マルウェアがプリインストールされた状態で販売されているAndroid TVデバイスは、中国企業のAllWinnerとRockChipが販売する「H616を搭載したT95というモデル」で、「t95 h616」と検索すると該当デバイスが複数販売されていることがわかります。なお、AmazonでAllWinnerとRockChipが販売しているAndroid TVデバイスは、Amazon上では数千件の称賛レビューを集めており、レビューの平均は星4と非常に高評価だそうです。
これらのAndroid TVデバイスにマルウェアがプリインストールされているのを発見したのは、該当デバイスのひとつを偶然購入したというセキュリティ研究者のDaniel Milisic氏。Milisic氏はマルウェアがプリインストールされたAndroid TVデバイスの調査をGitHub上で進めています。
Milisic氏によると、Android TVデバイスにプリインストールされているマルウェアは、Guerrilla同様にコマンド&コントロールサーバー経由で、マルウェア作成者が望むあらゆるアプリケーションを感染端末にリモートでインストールすることが可能だそうです。このマルウェアはクリックボットとして知られるもので、バックグラウンドで密かに広告をクリックすることで悪意のあるユーザーのために広告収入を生み出します。
なお、電子フロンティア財団のセキュリティ研究者であるBill Budington氏も問題のあるAndroid TVデバイスをAmazonで購入し、Milisic氏の調査結果を独自に確認しています。Milisic氏によると、AllWinner T95Max、RockChip X12 Plus、RockChip X88 Pro 10といったモデルにマルウェアがプリインストールされていたそうです。
なお、Ars Technicaは「工場出荷時の状態でマルウェアがインストールされたAndroidデバイスは目新しいものではありません。Ars Technicaは近年、この種の出来事を5回は報じています。そして、これらの影響を受けるモデルはすべて低価格帯のスマートフォンでした」と言及し、Androidスマートフォンを購入する際はSamsung、ASUS、OnePlusといった既知のブランド製品を選ぶ必要があると指摘。さらに、「ハイエンドのAndroidデバイスにマルウェアがプリインストールされているという報告はなく、iPhoneでもこの種の報告はありません」と述べました。
この記事のタイトルとURLをコピーする
