Android向けマルウェア「Triada」はGoogleの対策に応じて出荷前のデバイスに組み込まれるように進化していた
by habashdesign
2019年6月6日、Googleはセキュリティブログを更新し、Androidデバイスに感染するマルウェア「Triada」についてまとめています。Triadaは当初こそインストールによって感染するタイプのマルウェアでしたが、GoogleがTriadaへの対策を強化するにつれ、出荷前のAndroidデバイスにファームウェアバックドアとして組み込まれるようになっていったと、GoogleはTriadaの進化について述べています。
Google Online Security Blog: PHA Family Highlights: Triada
https://security.googleblog.com/2019/06/pha-family-highlights-triada.html
Android malware once found a way onto phones before they even shipped - The Verge
https://www.theverge.com/2019/6/6/18655755/google-android-malware-triada-ota-rom-ads-spam-oem
2016年に発見された当初のTriadaはトロイの木馬型マルウェアであり、感染したAndroidデバイスに悪意のあるアプリをインストールしたり、スパム広告を表示させたりしていました。ウェブブラウザに対しても機能を発揮し、ウェブサイトのURLを上書きしてTriada制作者に利益をもたらす広告バナーを表示させるなどの攻撃を行っていたとのこと。
もちろんGoogleがTriadaを見逃し続けるわけがなく、Google Play プロテクトを使用して全てのデバイスからTriadaを削除する対策をとります。もともと古いAndroidデバイスをターゲットにしていたTriadaは、この対策によって新たにAndroidデバイスへ感染することが困難になったと思われていました。
by TeroVesalainen
しかし2017年7月、GoogleはTriadaの新たなタイプが出現していることに気づきました。これまではAndroidデバイスに感染してトロイの木馬型マルウェアとして機能していたTriadaが、出荷前のAndroidデバイスにプレインストールされているファームウェアのバックドアとなっていたそうです。
なぜ出荷前のAndroidデバイスにTriadaが侵入できたのかという謎を解くカギは、Androidデバイスを製造するメーカーのファームウェア製造工程にあるとのこと。多くのメーカーは顔認証によるデバイスロック解除など、オープンソースとなっているAndroidプロジェクトに含まれていない機能を、自社のAndroidデバイスに組み込もうとします。その結果、目的である機能の開発をサードパーティのソフトウェアベンダーに依頼します。
このサードパーティベンダーがTriada攻撃の媒介となっており、メーカーに依頼された機能のコードにTriadaのコードを紛れ込ませていると、Googleは指摘しています。Googleの分析によると、「Yehuo」あるいは「Blazefire」という名称を使用しているベンダーが、AndroidデバイスにTriadaを感染させていたとのこと。
Googleはすでに影響を受けたメーカーと協力してシステムのアップデートを提供し、Triadaを削除したほか、Triadaに類似した他のマルウェアについても全てのAndroidデバイス上でスキャンを行ったとしています。今回の事例から、Android向けマルウェアの開発者が熟達した技能を有していることがわかるとGoogleは主張しました。
サードパーティベンダーにソフトウェア開発を依頼するメーカーは、全てのコードについてセキュリティレビューを行って、要求した機能以外を追加されていないかどうかをチェックする習慣を持つべきだとGoogleは述べています。
・関連記事
Google Play上のアンチウイルスアプリの3分の2はまともに動作していない - GIGAZINE
Androidデバイスに「PNG画像を見るだけでハッキングされてしまう脆弱性」があると判明 - GIGAZINE
Huawei、Xiaomi、Oppo、Samsungなどのスマホにマルウェアがインストールされて出荷される - GIGAZINE
感染したスマホを物理的に破壊する可能性を秘めた恐怖の多機能マルウェア「何でも屋」が登場 - GIGAZINE
24時間で5000台のAndroid端末に感染して仮想通貨のマイニングを開始するマルウェアが報告される - GIGAZINE
2017年に悪質なAndroidアプリは70万個以上削除されている - GIGAZINE
Androidの次期OS「Android P」はスパイアプリが無断でカメラ&マイクを起動するのを防ぐ - GIGAZINE
Android向けマルウェアとして恐るべき仕組みとビジネスモデルを備える「iBanking」とは? - GIGAZINE
・関連コンテンツ