TokyoBlackHatNews

bleepingcomputer.com 4分で読了

人気のAndroidベース写真フレームが起動時にマルウェアをダウンロード

Image

Androidベースのデジタルフォトフレーム「Uhale」には複数の重大なセキュリティ脆弱性が存在し、その一部は起動時にマルウェアをダウンロードして実行します。

モバイルセキュリティ企業のQuokkaは、Uhaleアプリの詳細なセキュリティ評価を実施し、その挙動から、MezmessおよびVoi1dマルウェアファミリーとの関連を示唆する動きを確認しました。

研究者らは、複数のブランドのデジタルフォトフレームで使用されているUhaleプラットフォームの背後にある中国企業ZEASN(現在の「Whale TV」)に問題を報告しましたが、5月以降、複数回の通知にもかかわらず返答はありませんでした。

自動マルウェア配信

最も懸念される発見として、多くの解析対象となったUhaleフォトフレームは、起動時に中国に拠点を置くサーバーから悪意あるペイロードをダウンロードしています。

「起動時に、多くの調査対象フレームはUhaleアプリのバージョン4.2.0をチェックし、更新します」とQuokkaはレポートの中で述べています

「その後、デバイスはこの新バージョンをインストールして再起動します。再起動後、更新されたUhaleアプリがマルウェアのダウンロードと実行を開始します。」

Uhaleアプリのファイルディレクトリ配下に保存されるダウンロード済みのJAR/DEXファイルは、その後のすべての起動時に読み込まれ、実行されます。

Quokkaが調査したデバイスでは、SELinuxセキュリティモジュールが無効化されており、デフォルトでroot化されていて、多くのシステムコンポーネントがAOSPテストキーで署名されていました。

Image
ダウンロードされたペイロード
出典: Quokka

研究者らは、パッケージのプレフィックス、文字列名、エンドポイント、配信ワークフロー、アーティファクトの位置などに基づき、ダウンロードされたペイロードがVo1dボットネットおよびMzmessマルウェアファミリーと関連している証拠を発見しました。

しかし、これらのデバイスがどのように感染したのかは不明です。

Malware-loading workflow
マルウェア読み込みワークフロー
出典: Quokka

複数のセキュリティギャップ

マルウェア配信(すべてのUhaleブランドのフォトフレームで発生していたわけではありません)に加え、研究者らは十数件を超える脆弱性も発見しました。

Quokkaがレポートで開示した17件のセキュリティ問題のうち、11件にはCVE-IDが割り当てられていますが、その中でも特に重要なものは以下のとおりです。

  • CVE-2025-58392 / CVE-2025-58397 – 安全でないTrustManager実装により、中間者攻撃による偽造暗号化レスポンスの注入が可能となり、影響を受けるデバイス上でroot権限によるリモートコード実行が可能になります。
  • CVE-2025-58388 – アプリのアップデート処理が、サニタイズされていないファイル名をそのままシェルコマンドに渡しており、コマンドインジェクションおよび任意APKのリモートインストールが可能になります。
  • CVE-2025-58394 – テストされたすべてのフレームはSELinuxが無効化され、デフォルトでroot化されており、公開されているAOSPテストキーを使用しているため、事実上、出荷時点で完全に侵害された状態です。
  • CVE-2025-58396 – プレインストールされたアプリはTCPポート17802でファイルサーバーを公開しており、認証なしのアップロードを受け付けるため、同一ローカルネットワーク上の任意のホストが任意ファイルの書き込みや削除を行えます。
  • CVE-2025-58390 – アプリのWebViewはSSL/TLSエラーを無視し、混在コンテンツを許可しているため、攻撃者はデバイスに表示されるデータを注入・傍受でき、フィッシングやコンテンツのなりすましが可能になります。
  • ハードコードされたAESキー(DE252F9AC7624D723212E7E70972134D)がsdkbinレスポンスの復号に使用されています。
  • いくつかのモデルにはAdupsアップデートコンポーネントや古いライブラリが含まれており、アプリも弱い暗号パターンやハードコードされた鍵を使用しているため、サプライチェーンリスクを生み出しています。

これらの製品の多くは、使用しているプラットフォームを明記せずにさまざまなブランド名で販売されているため、潜在的に影響を受けるユーザー数を正確に見積もるのは困難です。

UhaleアプリはGoogle Playで50万件以上のダウンロードがあり、App Storeでは1万1,000件のユーザーレビューがあります。Amazon上のUhaleブランドのフォトフレームには、ほぼ1,000件のユーザーレビューがあります。

BleepingComputerは、コメントを求めて独自にZEASNへ連絡しましたが、公開時点までに回答は得られていません。

消費者は、ファームウェア改変のない公式Androidイメージ、Google Playサービス、および組み込みのマルウェア対策を使用する、信頼できるブランドの電子機器のみを購入することが推奨されます。

翻訳元: https://www.bleepingcomputer.com/news/security/popular-android-based-photo-frames-download-malware-on-boot/

ソース: bleepingcomputer.com
#Androidマルウェア #IoTセキュリティ #Mezmessマルウェア #Uhaleアプリ #Vo1dボットネット #ZEASN(Whale TV) #サプライチェーンリスク #デジタルフォトフレーム #ファームウェア脆弱性 #ルート化デバイス

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用