サイバーセキュリティ企業ソフォスの Counter Threat Unit(CTU)研究チームによる新たな報告は、50モデルの低価格Android端末において、ファームウェア層のバックドア型マルウェアがあらかじめ組み込まれた状態で出荷されていたと警告している。
ソフォスは「確認された感染は世界中に広がっており、端末は40カ国で発見された」と述べている。同社によると、この「Keenadu」と呼ばれるマルウェアは、感染した端末に対して攻撃者が事実上の完全な支配権を持つことを可能にする。Kaspersky Threat Intelligenceが最初に報告したこの完全機能型のバックドアマルウェアは、特にAndroidタブレットを標的にしているようだ。以下がその要点となる。
Keenaduは一部の低価格Androidタブレットに出荷時から組み込まれている
米国時間3月19日付のソフォスCTUの分析によると、Keenaduのマルウェアコードは「感染端末上の静的ライブラリ(libVndxUtils.a)にあり、正規のMediaTek(メディアテック)コードを装った悪意ある依存ライブラリに依拠している」という。
これは、メディアテック製チップセットに影響する脆弱性によって、8億7500万台のAndroidスマートフォンが影響を受ける可能性があるとする最近の報道とは別の問題だ。Keenaduは、Android端末の言語設定に中国語のいずれかの言語が選ばれている場合、あるいは時刻設定が中国のいずれかのタイムゾーンになっている場合には起動しない。この点から、中国由来である可能性があるようだ。
カスペルスキーのドミトリー・カリーニンは以前、Keenaduは端末にインストールされているすべてのアプリに感染できるうえ、Android Package Kit(APK)ファイルからアプリをインストールし、それらに利用可能なすべての権限を与えることもできると述べていた。つまり攻撃者は、写真や動画などのメディア、メッセージ、銀行の認証情報を含む端末内のあらゆる情報を侵害できる可能性があると、カリーニンは警告していた。
