複数のフィーチャーフォンに初期状態でマルウェアがインストールされていることが判明
「格安で販売されているフィーチャーフォンでも問題なくSMSを送受信可能なのか?」の調査から、複数のフィーチャーフォンにマルウェアがインストールされていて、端末外部に情報を送信していたことが明らかになりました。
Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы / Хабр
https://habr.com/ru/post/575626/
Malware found preinstalled in classic push-button phones sold in Russia - The Record by Recorded Future
https://therecord.media/malware-found-preinstalled-in-classic-push-button-phones-sold-in-russia/
これはIT系フォーラム・Хабрのユーザー・ValdikSS氏が報告したもの。
ValdikSS氏は、ロシアの携帯電話ショップで販売されている安いフィーチャーフォンについての調査を行いました。調査対象とした端末はフィーチャーフォン向けチップメーカー大手3社である中国の半導体メーカー・清華紫光集団の傘下にあるRDAマイクロエレクトロニクス(鋭迪科微電子)、清華紫光集団傘下のSpreadtrum(展訊通信)、台湾の半導体メーカー・Mediatek(聯発科技)のいずれかのチップを搭載した5つの機種。
調査の中で、ValdikSS氏は端末の中に不審な「悪意ある動作」をするものがあることに気づきました。確認された悪意ある動作は大きく分けて「携帯電話のIMEI番号とSIMカードのIMSI番号を身元不明の組織または個人に送信しようとする」「バックグラウンドでネットに接続して有料の番号に対してSMSを送る(携帯電話番号の口座からお金を盗み出す)」「バックドアで受信SMSを傍受しサーバーに送信する」の3つだったとのこと。
ValdikSS氏が調査した端末と動作の内容は以下の通り。
| 端末名 | SoC | 価格 | 悪意ある動作 |
|---|---|---|---|
| INOI 101 | RDA8826/SC6533 | 600₽(約904円) | なし |
| DEXP SD2810 | SC6531E | 699₽(約918円) | ・GPRS経由でIMEI番号やIMSI番号を送信 ・リモートサーバーからSMS番号とメッセージを受信し特定の番号に送信 ・SMSを傍受しユーザーに代わって返信 |
| Itel it2160 | MT6261 | 799₽(約1204円) | ・IMEI番号や国、モデル、ファームウェアバージョンなどをリモートサーバーに送信 |
| Irbis ТЕЛЕФОН SF63 | SC6531DA | 750₽(約1131円) | ・GPRS経由で電話のアクティベーション情報などをリモートサーバーに送信 ・電話番号を取得してアカウントをオンライン登録 ・リモートサーバーからコマンドを取得して実行 |
| F+ Flip 3 | SC6531DA | 1499₽(約2259円) | ・ファームウェアにハードコーディングされた電話番号に対してIMEI番号やIMSI番号を含むSMSを送信 |
リモートサーバーはいずれも中国に設けられたものでした。
なお、悪意ある動作はファームウェアによるものでしたが、コードがベンダーによって追加されたものなのか、ファームウェアを提供したサードパーティーによって追加されたものなのか、出荷された電話に何者かが処理を加えたのかは不明だとのことです。
・関連記事
中国メーカーの超低価格スマホが出荷された時点でマルウェアに感染していたことが判明 - GIGAZINE
Huawei、Xiaomi、Oppo、Samsungなどのスマホにマルウェアがインストールされて出荷される - GIGAZINE
1億2800万人ものiPhoneユーザーがマルウェア入りのアプリをインストールしていたことが明らかに - GIGAZINE
「Macには許容できない量のマルウェアが存在している」とApple幹部が裁判で証言 - GIGAZINE
・関連コンテンツ
