Huawei、Xiaomi、Oppo、Samsungなどのスマホにマルウェアがインストールされて出荷される

ユーザーの許諾を得ないで広告を表示するマルウェアがプリインストールされた状態で、SamsungやHuaweiなどのAndroidスマートフォンが出荷されたことが明らかになりました。マルウェアが混入した状態で出荷された端末は500万台に上るようです。

RottenSys: Not a Secure Wi-Fi Service At All - Check Point Research
https://research.checkpoint.com/rottensys-not-secure-wi-fi-service/

セキュリティ対策会社Check Point Mobileは、「RottenSys」と名付けたマルウェアが500万台近いAndroid端末にプリインストールされていたことを明らかにしました。RottenSysという名前は、マルウェアが発見当初に「System Wi-Fi service」として擬装されていたことから名付けられたとのこと。

最近、Xiaomiの廉価スマートフォン「Redmi」シリーズに、System Wi-Fi serviceを自称するアプリが目立つようになったことから、Check Point Mobileのエンジニアが調査したところ、アプリが安全なWi-Fi関連サービスを提供する代わりにWi-Fiサービスとは無関係なアクセシビリティの許可やカレンダーへのアクセス許可、バックグラウンドでのダウンロード許可など機密性の高い事項へのアクセス許可を要求することが分かりました。

RottenSysは、悪意のあるアプリであることを見破られないように、当初はすぐには活動をしないように設定されており、代わりにC＆Cサーバーに接続して、悪意あるコードを含む追加コンポーネント一覧のリストを送信し、C＆Cサーバーからコンポーネントをダウンロードします。必要なコンポーネントがすべてダウンロードされると、Androidアプリの仮想化フレームワーク「Small」を使ってコンポーネントを並行して実行し、ホーム画面やポップアップウインドウ、フルスクリーン広告を表示するようになるとのこと。なお、RottenSysは広告表示をするために中国Tencentの広告プラットフォーム「Guang Dian Tong」と中国Baiduの「Baidu ad exchange」に接続します。

Xiaomi端末にRottenSysによって広告が表示されたという投稿から、どのように広告が表示されるのかがわかります。

Check Point Mobileは、RottenSysの流入経路についても調査しており、「天湃浅装」「天湃面」という中国・杭州に拠点を構える携帯電話販売代理店の「Tian Pai」との関連を示唆するてがかりを発見しているとのこと。Check Point Mobileによると、調査で見つかったRottenSysに感染している端末の49.2％がTian Paiの販売チャンネルから出荷されたものだそうです。

なお、RottenSysがインストールされた端末は以下の通り。サブブランドHonorを含めてHuaweiがトップ、その後にXiaomi、Oppo、Vivo、Meizu、LeEco、Coolpad、Gioneeなどの中国勢がずらりと続き、Samsung端末も含まれています。

RottenSysの感染の推移は以下の通りで、2017年中期以降に一気に増えています。Check Point Mobileの調査では、2018年3月12日までに496万4460台の感染が確認されているとのこと。なお、調査が進むごとにC＆Cサーバーが発見されているため、実際の被害ははるかに多い可能性があるとCheck Point Mobileは指摘しています。

RottenSysによって表示された広告は過去10日だけで、インプレッション数は130万回を越え、広告収入は11万5000ドル(約1200万円)以上になっていると推測されています。

RottenSysに関するプログラムを特定することは一般ユーザーには非常に難しいものですが、以下の4つのパッケージ名とアプリ名を目安にすればOKだとのこと。対象のパッケージ名をAndroidシステムのアプリ設定で見つけて、アンインストールすることをCheck Point Mobileは推奨しています。