2014年3月5日

株式会社Doctor Web Pacific

Androidファームウェアと共に拡散される悪意のあるプログラムの存在は、情報セキュリティスペシャリストにとっては新しいものではありません。しかし、これらの脅威の駆除は複雑な上に、保証の無効化やデータの破損、デバイス動作の妨害を伴う危険性があります。また、ファームウェアのアップグレードを装ってデバイス上に侵入するのみでなく、新しいデバイスにプリインストールされた形で拡散されることに気を付ける必要があります。後者のパターンが多くのユーザーを悩ませています。

Android.SmsSend.1081.originとしてDr.Webウイルスデータベースに追加された悪意のあるプログラムは、オーディオプレーヤーとしてAndroidファームウェアに組み込まれていました。このオーディオプレーヤーは中国のオンライン音楽サービスにユーザーを登録するために、ユーザーのIMSIを指定された番号へ送信する機能を持っています。しかしその際、デバイスの位置を確認したり、プレーヤーの再生時に送信するメッセージの数を制限したりすることがなく、このバグによって、例えばロシアのユーザーでは1通のSMSにつき5～7ルーブルの損害が発生しています。そのため、当初は便利であると思われていたこのプログラムは次第に望まれないプログラムとなり、ウイルスアナリストによってトロイの木馬として分類されるに至りました。

OSファームウェアに含まれているこのトロイの木馬は決して多く拡散されているわけではありませんが、アプリケーション提供元から配信されている他の多くの悪意のあるプログラムと同様に危険であるということに注意する必要があります。Doctor Webでは、最近発生したそのようなトロイの木馬の拡散について1月に報告しています。このAndroid.Oldboot.1は1月の間に数百万台のモバイルデバイス上で検出されています。このマルウェアは様々なプログラムをインストール・削除する機能をもち、また、その悪意のあるコンポーネントはメモリ内に置かれ、デバイスが起動される度にシステムを感染させます。その後、デバイスのIMEI情報を含んだSMSを特定の番号へ送信する機能を備えたまた別のトロイの木馬がDr.Webウイルスデータベースに追加されました。SMSを送信する標準的なマルウェアの亜種であるこの脅威はDr.Web for AndroidによってAndroid.SmsSend.1067.originとして検出されます。

これらの悪意のあるプログラムの最も危険な点は、それらの持つ機能とは別に、従来の手法では削除することができないという特徴にあります。ユーザーはOS機能およびシステムファイルに対するアクセス権限（ルートアクセス）を取得するか、またはプログラムを含んでいないクリーンなファームウェアを再インストールする必要があります。ファイルシステムの改変を伴うこのような手法は、保証の無効化やデータの損失、デバイスの破損を招く危険性があります。

被害を最小限に防ぐため、疑わしいファームウェアのインストールを避け、未知の提供元からデバイスを購入しないようにすることを推奨します。万一被害に遭ってしまった場合は以下の方法をお試しください。

• ファームウェアがデバイスの製造元から提供されたオリジナルのものであるかどうかを確認します。製造元のサポートサービスなどにお問い合わせください。ファームウェアが製造元とは別のサードパーティから提供されたものであった場合、デバイス製造元のOSイメージをインストールしてください。
• ご自身でサードパーティ製ファームウェアをインストールし、それにトロイの木馬が含まれていた場合、製造元のファームウェアに切り替えてください。
• 製造元のファームウェアを使用しているが、それにトロイの木馬が含まれていた場合、製造元に連絡して指示を仰いでください。
• 十分な技術的知識とスキルをお持ちの場合、ルートアクセスを取得して悪意のあるプログラムをご自身で削除することもできます。ただしこの場合、保証の無効化やデバイスの破損といったリスクを伴うことを理解したうえで行う必要があります。
• 使用しているファームウェアに悪意のあるプログラムが含まれている場合、その無効化を試みることができます。アプリ管理画面で該当するアプリケーションを選択し「無効にする」をタップします。