警告、マルウェアが仕込まれた「安価なAndroidタブレット」が出回っている

サイバーセキュリティ企業ソフォスの Counter Threat Unit（CTU）研究チームによる新たな報告は、50モデルの低価格Android端末において、ファームウェア層のバックドア型マルウェアがあらかじめ組み込まれた状態で出荷されていたと警告している。

ソフォスは「確認された感染は世界中に広がっており、端末は40カ国で発見された」と述べている。同社によると、この「Keenadu」と呼ばれるマルウェアは、感染した端末に対して攻撃者が事実上の完全な支配権を持つことを可能にする。Kaspersky Threat Intelligenceが最初に報告したこの完全機能型のバックドアマルウェアは、特にAndroidタブレットを標的にしているようだ。以下がその要点となる。

■Keenaduは一部の低価格Androidタブレットに出荷時から組み込まれている

米国時間3月19日付のソフォスCTUの分析によると、Keenaduのマルウェアコードは「感染端末上の静的ライブラリ（libVndxUtils.a）にあり、正規のMediaTek（メディアテック）コードを装った悪意ある依存ライブラリに依拠している」という。

これは、メディアテック製チップセットに影響する脆弱性によって、8億7500万台のAndroidスマートフォンが影響を受ける可能性があるとする最近の報道とは別の問題だ。Keenaduは、Android端末の言語設定に中国語のいずれかの言語が選ばれている場合、あるいは時刻設定が中国のいずれかのタイムゾーンになっている場合には起動しない。この点から、中国由来である可能性があるようだ。

カスペルスキーのドミトリー・カリーニンは以前、Keenaduは端末にインストールされているすべてのアプリに感染できるうえ、Android Package Kit（APK）ファイルからアプリをインストールし、それらに利用可能なすべての権限を与えることもできると述べていた。つまり攻撃者は、写真や動画などのメディア、メッセージ、銀行の認証情報を含む端末内のあらゆる情報を侵害できる可能性があると、カリーニンは警告していた。

「ファームウェアが更新されるまで、企業は社内ネットワークへのアクセス制限を検討すべきだ」

一方、ソフォスの報告によると、同社の観測データからみて、Keenaduは現時点では主に広告詐欺に使われている。報告書は「マルウェアが標的とするアプリは、攻撃者がどのモジュールをダウンロードするかで決まる」と述べ、標的の例としてShein、Temu、Amazonなどの通販アプリを挙げた。ソフォスはさらに、「YouTube、Facebook、Digital Wellbeingアプリはいずれもクリッカーモジュールの標的になっている」と付け加えた。これらのモジュールは、バックグラウンドでひそかにウェブサイトへ接続し、クリック課金収入を発生させて広告詐欺を行う。

「Keenaduは、モバイルマルウェアがもはや単なる悪質アプリの問題ではなく、サプライチェーンとファームウェアの完全性の問題であることを改めて示しています」と、Swimlaneのリードセキュリティオートメーションアーキテクト、ニック・タウセクは述べた。「すでに複数の国で感染が数千件確認されており、侵害の影響は広告詐欺から、さらに大きな二次的侵害にまでおよぶ可能性があります」

ソフォスラボのアナリストは、ベンダーが更新版ファームウェアを提供した場合は、それをインストールするようAndroidユーザーに勧めた。ソフォスは「ファームウェアが更新されるまで、企業は影響を受けるモデルの社内ネットワークへのアクセス制限を検討すべきだ」と述べている。

一方、グーグルの広報担当者は筆者に対し、次のように述べている。

「Androidユーザーは、このマルウェアの既知のバージョンについては、Google Playプロテクトによって自動的に保護されています。Google Playプロテクトは、Google Play Servicesを搭載したAndroid端末では標準で有効です。Google Playプロテクトは、Keenaduに関連する挙動を示すことがわかっているアプリについては、Play以外の提供元から入手したものであっても、ユーザーに警告を出し、無効化できます。最善のセキュリティ対策として、ユーザーには、ご利用の端末がPlayプロテクト認定を受けているか確認することをお勧めします」