Googleは一部のAndroidデバイスにバックドアがプリインストールされていたことを確認

Googleが明らかにしたTriadaバックドアがいくつかのAndroidデバイスにプリインストールされていた

Googleは最近、一部のAndroid端末が顧客に出荷される前にスマートフォンメーカーによって知らず知らずのうちにマルウェアに感染していたことを確認しました。

詳細な研究投稿の中で、Googleは、ハッカーがどのようにしてTriadaというマルウェアをAndroidデバイスにインストールするためにプリインストールされたソフトウェアを改ざんしたのかを説明しました。このマルウェアは、広告を表示するデバイスにスパムアプリをインストールするために設計されています。Triadaの作成者は、スパムアプリによって表示される広告から収益を得ていました。

「Triadaは、製造プロセス中にサードパーティを介してデバイスのシステムイメージに感染します。時にはOEMが顔認証のようなAndroidオープンソースプロジェクトの一部ではない機能を含めたいと思うことがあります。

OEMは、望ましい機能を開発できるサードパーティと提携し、開発のためにそのベンダーにシステムイメージ全体を送信することがあります…分析に基づいて、YehuoまたはBlazefireという名前のベンダーが返されたシステムイメージにTriadaを感染させたと考えています」と、AndroidセキュリティおよびプライバシーチームのLukasz Siewierskiはブログ投稿で述べました。

「Triadaファミリー」のトロイの木馬は、Kaspersky Labsのセキュリティ研究者によって最初に発見され、2016年3月に彼らのウェブサイトのブログ投稿で説明され、その後2016年6月にフォローアップのブログ投稿で再度取り上げられました。

当時、それは特権を昇格させた後にハードウェアを悪用するために設計されたルートトロイの木馬として記載されていました。2016年にTriadaの動作について認識したGoogleは、すべてのデバイスからTriadaのサンプルを削除するためにPlay Protectを通じて検出を実装しました。

しかし、マルウェアの背後にいる悪意のある行為者は、別の珍しいアプローチを取り、2017年夏にトロイの木馬のよりスマートなバージョンをリリースしました。これは、2017年7月にアンチマルウェアベンダーのDr. Webによって発見されました。

「2017年夏、私たちは新しいTriadaサンプルに変化があることに気付きました。デバイスをルート化して特権を取得する代わりに、TriadaはプリインストールされたAndroidフレームワークのバックドアに進化しました。

Triadaの変更には、以下に示すように強調表示された構成文字列を持つAndroidフレームワークログ機能への追加呼び出しが含まれていました」とSiewierskiは付け加えました。

「ログ機能にバックドアを仕掛けることで、追加のコードはログメソッドが呼び出されるたびに実行されます（つまり、電話の任意のアプリが何かをログしようとするたびに）。これらのログ試行は1秒あたり何度も発生するため、追加のコードはノンストップで実行されています。追加のコードは、メッセージをログしているアプリのコンテキストで実行されるため、Triadaは任意のアプリコンテキストでコードを実行できます。

Triadaの初期バージョンのコードインジェクションフレームワークは、Marshmallow以前のAndroidリリースで機能しました。」

しかし、最も懸念される要因は、標準的な方法では削除できないことです。「このトロイの木馬を取り除く唯一の安全で確実な方法は、クリーンなAndroidファームウェアをインストールすることです」とDr. Webはブログ投稿で述べました。

Dr. Webの報告によると、Leagoo M5 Plus、Leagoo M8、Nomu S10、Nomu S20などのデバイスを含む、いくつかのAndroidデバイスがTriadaの改変版で検出されました。Googleはマルウェアに感染したモバイルデバイスを明らかにしませんでしたが、ブログ投稿でDr. Webの報告を確認しました。

Googleは、その後、影響を受けたOEM（オリジナル機器メーカー）と調整し、システムアップデートを提供し、Triadaバリアントの痕跡を削除し、OTA（オーバー・ザ・エア）アップデートを通じてバックドアを閉じました。

Googleはまた、OEMに対して「ビルドテストスイート」と呼ばれる自動化システムを提供しており、すべてのAndroidデバイスでTriadaや類似の脅威に対してシステムイメージをスキャンします。さらに、検索大手はOEMに対して、ネットワーク内のデバイスのすべてのサードパーティコードのセキュリティレビューを実施し、疑わしい活動を監視するように求めています。加えて、Googleは市場に出ているデバイスを定期的に評価し、サプライチェーン攻撃を探しています。