http://www.security-next.com/093684

Avast Softwareは、ZTEやArchos、myPhoneなどのメーカーが提供するAndroidデバイスに、マルウェアが出荷前よりプリインストールされている可能性があると発表した。ファームウェアレベルでインストールされており、消去は困難だという。

同社によれば、ブラウザ内でウェブページにオーバーレイ広告を作成するアドウェア「Cosiloon」がプレインストールされたAndroidデバイスが見つかったもの。

活動期間は少なくとも3年間以上、対象モデルやバージョンは数百種類におよぶとし、同社製品のユーザーだけでも、過去1カ月に同アドウェアの最新版が米国やロシア、イタリア、ドイツ、イギリスなど100カ国以上、デバイス約1万8000台で発見されたという。

こうしたデバイスの大半は、Googleによる認証を取得していないモデルだとしている。

アドウェアはファームウェアレベルでインストールされたドロッパーのペイロードで、ドロッパーがどのような経緯でデバイスに実装されたのか経緯についてはわかっていない。ドロッパーは強力な難読化が施されており、消去は困難で、スパイウェアやランサムウェアなどアドウェア以外をダウンロードすることも可能だという。

Avastでは、今回の問題についてGoogleへ報告済みで、Googleでも対応に乗り出しているという。今回の問題についてメーカー側も把握していないとし、マルウェアがプリインストールされた新型デバイスの出荷が続いていると指摘。解決にはセキュリティベンダー、Google、OEMメーカーによる業界全体の連携が不可欠であるとしている。

同社は、セキュリティ対策アプリでドロッパーによってインストールされるアドウェアの検知、アンインストールまでは行えるものの、ドロッパーそのものの無効化はパーミッションの問題で実施できないと説明。

Google Playプロテクトが有効であると指摘するとともに、設定画面のなかから「CrashService」「ImeMess」「Terminal」の名称が付けられたドロッパーを見つけ、アプリページで無効化する方法を案内している。

（Security NEXT - 2018/05/25 ）

ZTE製品など数百種類ものAndroid端末のファームにアドウェアがプリインストール
https://pc.watch.impress.co.jp/docs/news/1123887.html

　Avastの脅威研究所は25日、ZTE、Archos、myPhoneといったメーカーが提供する数百種類ものAndroidベースのデバイスおよびバージョンに、アドウェアがプリインストールされていることがわかったと発表した。

　アドウェアは「Cosillon」と呼ばれ、ファームウェア内に存在し、ブラウザ内のWebページにオーバーレイ広告を作成する。プリインストールが確認されたデバイスの大半はGoogleによる認証を取得していないもの。強力な難読化技術が用いられているため、除去は困難で、デバイスメーカーはおそらくその存在を知らないまま出荷してしまったのだろうとしている。過去1カ月のあいだだけでも、アメリカ、ロシア、イタリア、ドイツ、イギリスなど、100カ国以上の約18,000台のAvastユーザーのデバイスで発見されている。

　Avast製品はペイロードの検知、アンインストールが可能だが、ドロッパーはまたすぐにペイロードをインストールしてしまう。また、ドロッパーはファームウェア内にあるため、削除はできず、デバイスメーカーが対策する必要がある。

　Cosiloonペイロードのコントロールサーバーは更新され続けている状態であるといい、Avastが最初に報告したプロバイダのZenLayerはすぐに無効化したものの、その後しばらくして別のプロバイダを用いて復旧されてしまったという。一方でドメインのレジストラはAvastの要請に応じなかった。

　サードパーティーのアンチウイルスソフトが削除できない一方で、ユーザーは設定→アプリの画面のなかで「CrashService」、「ImeMess」、または「Terminal」と名付けられたドロッパーを見つけ、無効化することは可能。この作業を行なえばドロッパーは非アクティブとなり、ペイロードが復活することはない。

　また、Avastはこの問題をGoogleに報告し、Google Play ProtectがCosillonを検出するようになったため、最新版ペイロードに感染しているデバイスの数は減少しているという。

Leegooなど40以上の格安スマホに「トロイの木馬」
https://k-tai.watch.impress.co.jp/docs/news/1110436.html
関口 聖　2018年3月8日 12:57

　ロシアのセキュリティソフト事業者であるDoctor Webは3月1日、一部の格安Androidデバイスのファームウェアに、トロイの木馬が今週していることを発見し、レポートを公開した。

　レポートによれば、発見されたのは、Android.Triada.231と名付けられたいわゆる「トロイの木馬」。感染したデバイスでは、アプリを密かにダウンロード、起動するなど、ユーザーの操作にかかわらず、悪意ある動作をする。

　Doctor Webでは、上海にあるソフトウェア事業者からの求めに応じて埋め込まれたもので、メーカーがセキュリティとシステムコンポーネントへのトロイの木馬の侵入に注意を払っていない、と指摘する。

　トロイの木馬が発見されたデバイスは、Leagoo M5やLeagoo M9、Advan S4Zなど、40以上に及ぶが、いずれも日本ではMVNOや大手家電量販店では取り扱われていない。ただし、今後ネット通販などで格安なスマートフォンやタブレットを探す際には、注意して選びたい。

Leagoo M5
Leagoo M5 Plus
Leagoo M5 Edge
Leagoo M8
Leagoo M8 Pro
Leagoo Z5C
Leagoo T1 Plus
Leagoo Z3C
Leagoo Z1C
Leagoo M9
ARK Benefit M8
Zopo Speed 7 Plus
UHANS A101
Doogee X5 Max
Doogee X5 Max Pro
Doogee Shoot 1
Doogee Shoot 2
Tecno W2
Homtom HT16
Umi London
Kiano Elegance 5.1
iLife Fivo Lite
Mito A39
Vertex Impress InTouch 4G
Vertex Impress Genius
myPhone Hammer Energy
Advan S5E NXT
Advan S4Z
Advan i5E
STF AERIAL PLUS
STF JOY PRO
Tesla SP6.2
Cubot Rainbow
EXTREME 7
Haier T51
Cherry Mobile Flare S5
Cherry Mobile Flare J2S
Cherry Mobile Flare P1
NOA H6
Pelitt T1 PLUS
Prestigio Grace M5 LTE
BQ-5510 Strike Power Max 4G（Russia） 　

▲上へ　　　　　 ★阿修羅♪ > ＩＴ12掲示板　次へ 　前へ

フォローアップ:

★登録無しでコメント可能。今すぐ反映　通常 ｜動画・ツイッター等 ｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証
（ 上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):

▲上へ　　　　　 ★阿修羅♪ > ＩＴ12掲示板　次へ 　前へ

★阿修羅♪　http://www.asyura2.com/ since 1995
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。