研究者たちが、消費者の手に届く前にタブレットに感染する、デバイスファームウェアに深く埋め込まれた新しいAndroidバックドアを発見しました。
ロシアのサイバーセキュリティ企業Kasperskyが今週発表した報告書によると、同社はKeenaduと呼ばれるまだ記録されていないバックドアを発見しました。ユーザーが不意にダウンロードする典型的なマルウェアとは異なり、Keenaduはデバイスのコアソフトウェアに直接組み込まれており、タブレット上で起動されたすべてのアプリケーションに読み込まれることを可能にします。
「Keenaduは、攻撃者が被害者のデバイスをほぼ完全に制御することを可能にする、本格的なバックドアです」と研究者らは述べています。
Kasperskyの報告によると、世界中で13,700人以上のユーザーがKeenaduまたはそのモジュールに遭遇しました。検出数が最も多かったのはロシア、日本、ドイツ、ブラジル、オランダです。
このマルウェアは主に広告詐欺に使用されていました。Keenaduに関連するモジュールは、ブラウザ検索エンジンをハイジャック、新しいアプリケーションのインストールを監視し、広告コンポーネントと相互作用して不正な収益を生成することができました。場合によっては、感染したタブレットがユーザーの知らないうちにマーケットプレイスショッピングカートにアイテムを追加していたと報告されています。
報告書によると、このマルウェアは中国の大手デバイスメーカーAlldocubeを含む複数のメーカーのタブレットのファームウェアに統合されていました。同社は以前1つのモデルのマルウェア問題を認識していますが、Kasperskyは、公開開示後に発表されたものを含むそのデバイスのその後のファームウェアアップデートが、依然として感染していたと述べています。
研究者らは、Keenaduが他のメーカーのハードウェアからも発見されたと述べていますが、それらを特定していません。同社は影響を受けたベンダーに通知したと述べています。
研究者たちは、このマルウェアがファームウェアビルドステージ中に標的システムに挿入されたと考えており、おそらく侵害されたサプライチェーンを通じて、デバイスが顧客に到達する前に感染している可能性があります。
「ベンダーは、市場に到達する前にデバイスが感染していることに気付いていなかった可能性があります」とKasperskyは述べています。
バックドアの複数のバリアントが特定されました。最も強力なバージョンはデバイスファームウェアに直接埋め込まれていました。その他のバリアントはアプリケーション内に隠されており、デバイスのロック解除に使用される顔認識アプリケーション、さらにはGoogle Playおよびサードパーティリポジトリなどの公式ストアを通じて配布されているアプリケーションにも隠されていました。
研究者たちはこのキャンペーンを特定の脅威アクターに帰属させていませんが、開発者は「Androidアーキテクチャ、アプリケーション起動プロセス、およびオペレーティングシステムのコアセキュリティ原則に対する深い理解」を示したと述べています。
このマルウェアは特定の地域を回避するように設計されているようにも見えました。デバイスの言語設定とタイムゾーンをチェックし、インターフェース言語が中国の方言に設定されており、デバイスが中国のタイムゾーンに位置している場合は終了します。Google Play StoreまたはGoogle Play Servicesがないデバイスでは非アクティブのままです。
Keenaduの操作は、大規模なオンラインマーケットプレイスを通じて販売される偽造Androidデバイスのファームウェアに埋め込まれ、攻撃者がメッセージングアプリとソーシャルメディアアプリから認証情報を盗むことを可能にしたTriadaバックドアを含む2025年の感染に類似しています。
Keenaduはファームウェアレベルに埋め込まれているため、標準的なAndroidセキュリティツールを使用して削除することはできないと研究者は述べています。信頼できるソースからクリーンなファームウェアバージョンをインストールすることをお勧めします。場合によっては、デバイスを完全に交換することが最も安全な選択肢かもしれないと警告しています。
翻訳元: https://therecord.media/new-backdoor-found-in-android-russia-japan-brazil
