2018年3月1日

株式会社Doctor Web Pacific

2017年の中頃、Doctor Webのアナリストは一部の安価なモデルのAndroidデバイスのファームウェア内で新たなトロイの木馬 Android.Triada.231 を発見しました。それ以降、感染するデバイスの数は絶えず増加し続け、現時点で、そのリストには40を超えるモデルが含まれています。Doctor Webのスペシャリストはこのトロイの木馬について監視を続けてきました。この記事ではその結果を公表します。

Android.Triada.231 は、危険なAndroid.Triadaトロイの木馬の1つです。これらトロイの木馬は重要なシステムコンポーネントであるZygoteのプロセスを感染させます。このプロセスはあらゆるアプリケーションの起動に使用されるものです。モジュール内に挿入されたトロイの木馬は、実行中の他のアプリケーションに侵入します。これにより、ユーザーの介入なしに様々な悪意のある動作を実行(アプリケーションを密かにダウンロード・起動する)することが可能になります。 Android.Triada.231 の主な特徴は、 libandroid_runtime.so システムライブラリ内に埋め込まれているという点にあります。このトロイの木馬は個別のプログラムとして拡散されるのではなく、製造過程でデバイスのファームウェア内に侵入します。ユーザーが購入するとき、デバイスは既に感染していることになります。

昨年の夏、 Android.Triada.231 を検出したDoctor Webのセキュリティリサーチャーは、感染したデバイスを製造しているメーカーに対して報告を行いました。しかしながら、新しいスマートフォンのモデルは依然としてこのトロイの木馬に感染し続けています。たとえば、2017年12月に発売されたLeagoo M9スマートフォンでの検出があげられます。その上、Doctor Webアナリストの調査によると、このスマートフォンのファームウェアへのトロイの木馬の埋め込みは、Leagooのパートナーである上海のソフトウェアデベロッパーからの要求に応じて行われたものであるということが示されています。この企業は、モバイルOSのイメージ内に含むために自社のアプリケーションの1つをLeagooに提供し、そのコンパイル前にシステムライブラリ内に第三者製コードを追加するよう指示していました。残念なことに、この問題のある要求についてメーカーはなんら疑問を抱きませんでした。その結果、最終的に Android.Triada.231 は易々とスマートフォンへの侵入を果たすこととなったのです。

このアプリケーションを分析した結果、Android.MulDrop.924と同じ証明書を使って署名されているということが明らかになりました。このトロイの木馬について、Doctor Webでは2016年に記事を掲載しています。 Android.Triada.231 の拡散には、モバイルOSイメージ内に追加のプログラムを含むよう要求したデベロッパーが、直接的または間接的に関わっているものと考えられます。

現時点で、 Android.Triada.231 は40を超えるデバイスモデルのファームウェアで検出されています:

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Tesla SP6.2
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ-5510 Strike Power Max 4G (Russia)

このリストは包括的なものではありません。遥かに多くの数のスマートフォンモデルが感染している可能性があります。

このような大規模な Android.Triada.231 の拡散は、Androidデバイスメーカーはセキュリティの問題とシステムコンポーネント内へのトロイの木馬のコードの侵入についてほとんど注意を払っていないということを示すものです。これはエラーによるものか、あるいは悪意を持って意図的に行われたものであると考えられ、常習的なものである可能性があります。

Dr.Web for Androidは Android.Triada.231 のすべての亜種を検出します。お使いのモバイルデバイスが感染しているかどうかを確認するには、徹底的なスキャンを行ってください。root権限のあるDr.Web Security Space for Androidは、感染したシステムコンポーネントを修復することで Android.Triada.231 を駆除することができます。デバイスのroot権限を使用できない場合は、OSのクリーンなイメージをインストールすることでこのトロイの木馬を削除することができます。クリーンなイメージを入手するにはデバイスのメーカーに連絡してください。

Android.Triada.231の詳細