Android向けマルウェア「Triada」はGoogleの対策に応じて出荷前のデバイスに組み込まれるように進化していた

by habashdesign

2019年6月6日、Googleはセキュリティブログを更新し、Androidデバイスに感染するマルウェア「Triada」についてまとめています。Triadaは当初こそインストールによって感染するタイプのマルウェアでしたが、GoogleがTriadaへの対策を強化するにつれ、出荷前のAndroidデバイスにファームウェアバックドアとして組み込まれるようになっていったと、GoogleはTriadaの進化について述べています。

Google Online Security Blog: PHA Family Highlights: Triada
https://security.googleblog.com/2019/06/pha-family-highlights-triada.html

Android malware once found a way onto phones before they even shipped - The Verge
https://www.theverge.com/2019/6/6/18655755/google-android-malware-triada-ota-rom-ads-spam-oem

2016年に発見された当初のTriadaはトロイの木馬型マルウェアであり、感染したAndroidデバイスに悪意のあるアプリをインストールしたり、スパム広告を表示させたりしていました。ウェブブラウザに対しても機能を発揮し、ウェブサイトのURLを上書きしてTriada制作者に利益をもたらす広告バナーを表示させるなどの攻撃を行っていたとのこと。

もちろんGoogleがTriadaを見逃し続けるわけがなく、Google Play プロテクトを使用して全てのデバイスからTriadaを削除する対策をとります。もともと古いAndroidデバイスをターゲットにしていたTriadaは、この対策によって新たにAndroidデバイスへ感染することが困難になったと思われていました。

by TeroVesalainen

しかし2017年7月、GoogleはTriadaの新たなタイプが出現していることに気づきました。これまではAndroidデバイスに感染してトロイの木馬型マルウェアとして機能していたTriadaが、出荷前のAndroidデバイスにプレインストールされているファームウェアのバックドアとなっていたそうです。

なぜ出荷前のAndroidデバイスにTriadaが侵入できたのかという謎を解くカギは、Androidデバイスを製造するメーカーのファームウェア製造工程にあるとのこと。多くのメーカーは顔認証によるデバイスロック解除など、オープンソースとなっているAndroidプロジェクトに含まれていない機能を、自社のAndroidデバイスに組み込もうとします。その結果、目的である機能の開発をサードパーティのソフトウェアベンダーに依頼します。

このサードパーティベンダーがTriada攻撃の媒介となっており、メーカーに依頼された機能のコードにTriadaのコードを紛れ込ませていると、Googleは指摘しています。Googleの分析によると、「Yehuo」あるいは「Blazefire」という名称を使用しているベンダーが、AndroidデバイスにTriadaを感染させていたとのこと。

Googleはすでに影響を受けたメーカーと協力してシステムのアップデートを提供し、Triadaを削除したほか、Triadaに類似した他のマルウェアについても全てのAndroidデバイス上でスキャンを行ったとしています。今回の事例から、Android向けマルウェアの開発者が熟達した技能を有していることがわかるとGoogleは主張しました。

サードパーティベンダーにソフトウェア開発を依頼するメーカーは、全てのコードについてセキュリティレビューを行って、要求した機能以外を追加されていないかどうかをチェックする習慣を持つべきだとGoogleは述べています。

by TheDigitalArtist