警告:安価なAndroid携帯電話の中にはマルウェアがプリインストールされているものがある

Avastは、Googleの認定を受けていない多くの安価なAndroid携帯電話が、マルウェア(悪意あるソフトウェア)で汚染された状態で出荷されていることを発見した。このマルウェアによって利用者は望んでいないアプリをダウンロードさせられてしまう。Cosiloonと呼ばれるこのマルウェアは、アプリの宣伝をしたり、ユーザーを騙してアプリをダウンロードさせたりするために、画面上に広告を表示する。ZTE、Archos、myPhoneから汚染されたデバイスが出荷されている。

このマルウェアはドロッパーとペイロードで構成されている。「ドロッパーは難読化されていない小さなアプリケーションで、汚染されたデバイスの”/system”パーティションに置かれています。このアプリは全く目立たないもので、『設定』の下にあるシステムアプリケーションのリストの中でしかユーザーには見えないようになっています。私たちは、『CrashService』あるいは『ImeMess』という名前の2つの異なるドロッパーを目撃しています」とAvastは書いている。その後ドロッパーはウェブサイトに接続し、ハッカーが電話にインストールしたいペイロードをダウンロードする。「XMLマニフェストには、何をダウンロードするか、どのサービスを開始するかといった情報や、特定の国やデバイスを感染から除外するようにプログラムされたホワイトリストが含まれています。しかし、私たちはホワイトリストが使用された国を見たことはなく、初期のバージョンではほんの数個のデバイスしかホワイトリストに登録されていませんでした。現在は、ホワイトリストに登録されている国やデバイスはありません。CosiloonのURL全体がAPK(Androidのアプリケーションパッケージ形式)内にハードコードされています」。

ドロッパーはシステムのファームウェアの一部であり、簡単に削除することはできない。

要約すると:

ドロッパーは、暗号化されていないHTTP接続を介してダウンロードされたマニフェストの中に定義されたアプリケーションパッケージを、ユーザーの同意なしにインストールすることができます。
ドロッパーは、メーカー、OEM、そしてキャリアをつなぐサプライチェーンのどこかでプレインストールされています。
ドロッパーはデバイスのファームウェアの一部であるシステムアプリケーションであるため、ユーザーが削除することはできません。

Avast Mobile Security(Google Play Storeからダウンロード可能)を使えばペイロードを検出して削除することができるが、このアプリからではドロッパー自身を無効化することはできないため、Avastはユーザーが「設定」の中から、”Crash Service”もしくは”ImeMess”というアプリを探して手動で「無効化」することを推奨している(サイトでの説明はこちら)。ドロッパーは、アンチウイルスソフトを携帯電話上に見つけた場合には、うるさい広告表示は停止するものの、それでもディフォルトブラウザーでブラウジングをしている最中にアプリのダウンロードを勧めてくる。もちろろんそれは、より沢山の(より悪質な)マルウェアたちを招き入れるためのものである。Engadgetの指摘によれば、感染ソフトは、マルウェアを内蔵した何千台ものコンピュータが出荷されたLenovoの “Superfish”脅威に似ているということである。

[原文へ]
(翻訳:sako)