2022年8月24日

株式会社Doctor Web Pacific

Doctor Webは、有名ブランドAndroidデバイスの安価な偽造品のシステムパーティション内でバックドアを発見しました。これらトロイの木馬はメッセージングアプリWhatsAppやWhatsApp Business内での任意のコード実行を目的としており、チャットの傍受やそれらに含まれている機密情報の窃盗、スパムキャンペーンや種々の詐欺スキームなど、さまざまな攻撃シナリオで使用される可能性があります。ユーザーがさらされるリスクはそれだけではありません。これらのデバイスには最新かつ安全なAndroid OSバージョンがインストールされているとメーカーは主張していますが、実際には、複数の脆弱性が存在する可能性のある古いバージョンが使用されています。

7月、Androidスマートフォンで不審なアクティビティが検知されたという内容の連絡が複数のユーザーからDoctor Webのアンチウイルスラボに寄せられました。Dr.Web Anti-Virusによって検知されていたのは、システムストレージ領域の変更と、システムパーティション内でのマルウェアの存在です。このマルウェアはすべてのケースで同じものが検出されており、また、攻撃を受けたデバイスがすべて有名ブランドの偽造品であるという点も共通しています。これらのデバイスのデバイス情報には最新のOSバージョン（例：「Android 10」）が表示されますが、実際にインストールされているのはかなり古いバージョン4.4.2でした。

このインシデントは、少なくとも次の4機種で確認されています。

• «P48pro»
• «radmi note 8»
• «Note30u»
• «Mate40»

インストールされているOSバージョンについて偽の情報が表示されるという事実に加えて、機種名に人気メーカーのものを模倣した名前を冠しているということから、これらのデバイスは偽造品であると考えることができます。

システムパーティションの整合性監視機能と、そこに含まれるファイルの変更を追跡する機能により、Dr.Web Anti-Virusは次のオブジェクトに対する変更を検知することに成功しました。

• /system/lib/libcutils.so
• /system/lib/libmtd.so

オブジェクトlibcutils.soはシステムライブラリで、それ自体はもともと無害です。しかしながら、いずれかのアプリケーションによって使用された場合にファイルlibmtd.soからトロイの木馬が起動されるように改ざんされています。Dr.Webはこの改ざんされたバージョンのシステムライブラリを Android.BackDoor.3105 として検出します。

トロイの木馬を含んだライブラリlibmtd.soは、Doctor Webの分類に基づき Android.BackDoor.3104 と名づけられました。実行されるアクションはライブラリlibcutils.soがどのアプリケーションによって使用されるか（すなわち、このライブラリを介したバックドアの起動がどのアプリによって引き起こされるか）によって異なります。メッセージングアプリWhatsAppまたはWhatsApp Business、あるいは「設定」や「電話」システムアプリによって使用された場合、 Android.BackDoor.3104 は感染の第二段階へ進みます。この段階で、トロイの木馬は別のバックドアを該当するアプリのディレクトリ内にコピーして起動させます。 Android.Backdoor.854.origin としてDr.Webのウイルスデータベースに追加されたこのバックドアの主な機能は、追加の悪意のあるモジュールをダウンロードしてインストールすることです。

モジュールをダウンロードするために、 Android.Backdoor.854.origin は複数あるC&Cサーバーのうちの一つに接続し、デバイスに関する一連の技術データとともにリクエストを送信します。応答として、サーバーはトロイの木馬がダウンロードして復号化し、実行させるプラグインのリストを送信します。このバックドアと、それによってダウンロードされるモジュールの危険な点は、これらが実際にアプリの一部となって動作するというところにあります。その結果、標的となったアプリのファイルにアクセスしてチャットを読んだり、スパムを送信したり、通話を傍受・盗聴したりするなど、ダウンロードされるモジュールの機能に応じてさまざまな悪意のあるアクションを実行することができます。

ワイヤレス接続を管理するシステムアプリwpa_supplicantがトロイの木馬の起動に関与していた場合、 Android.BackDoor.3104 はローカルサーバーを起動させます。これにより、リモートまたはローカルクライアントがコンソールアプリケーション「mysh」に接続して操作することが可能になります。それには、そもそもこのコンソールアプリケーションがデバイスにインストールされているか、ファームウェア内に存在している必要があります。

デバイスのシステムパーティション内で発見された悪意のあるアプリのソースとして最も可能性が高いのは、長年にわたり知られている Android.FakeUpdates ファミリーに属するトロイの木馬です。これらトロイの木馬は悪意のあるアクターによってさまざまなシステムコンポーネント（ファームウェア更新ソフトウェアやデフォルト設定アプリ、システムグラフィカルインターフェース用コンポーネントなど）に埋め込まれています。 Android.FakeUpdates トロイの木馬は動作の過程でさまざまなLuaスクリプトを実行しますが、それらのスクリプトは特に別のソフトウェアをダウンロード・インストールするために使用されます。今回標的となったスマートフォンの一つで発見されたのも、そのようなトロイの木馬である Android.FakeUpdates.1.origin でした。

このようなトロイの木馬やその他さまざまな悪意のあるプログラムによる被害を受けないようにするため、Doctor Webでは公式ストアや信頼性の高い販売店からモバイルデバイスを購入することを推奨しています。アンチウイルスを使用し、利用可能なOSアップデートをすべてインストールすることも重要です。

Dr.Web Security Space for Androidは上記トロイの木馬を検出して駆除（ルートアクセスが可能な場合）し、感染したデバイスを修復します。そのため、Dr.Webユーザーに危害が及ぶことはありません。

• Android.Backdoor.854.originの詳細(英語)
• Android.BackDoor.3104の詳細(英語)
• Android.BackDoor.3105の詳細(英語)
• Android.FakeUpdates.1.originの詳細(英語)

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

• Android向けロシア初のアンチウイルス
• Google Playからのダウンロード数が、1.4億件を突破しました
• 個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード