RottenSys:中华Androidにマルウエアを初期混入
中国で出荷されたAndroidの中で、長期にわたって合計500万台近くにマルウエアが
初期導入されていることが判った、というニュースです。日本語の記事だけを読むと、
勘違いしてしまう方がいないとも限りませんので、少々整理してみます。
「RottenSys: Not a Secure Wi-Fi Service At All」(Check Point Research)
「近500万台手机被曝感染恶意软件 荣耀、华为、小米等品牌均上榜」(黑客视界)
「Huaweiなど500万台近くのAndroidスマホがマルウェア搭載で販売されていた」(iPhone Mania)
「Huawei、Xiaomi、Oppo、Samsungなどのスマホにマルウェアがインストールされて出荷される」(Gigazine)
Android robot 2014.svg (Google/Wikimedia Commons)
元になっているのは、Check Pointのリポートです。このRottenSys、“系统WIFI服务”
(システムWi-Fiサービス)の名前に偽装して、出荷時からインストールされています。
動作を隠蔽するために、少しずつしか動作しない様にはなっているのですが、それでも
「パフォーマンスが低下している」と気付いたユーザーがSNS上で騒ぎ始めた様です。
動作を始めると、特定の複数の広告用サーバーに接続し、必要があれば自身を更新、
追加情報を自動ダウンロード、検索で得られた広告を自動表示する様になります。
Check point が調べた「新たに感染した」Androidの台数 (Check Point)
2016年第4四半期から出現し始め、2017年第3四半期に急速に増えています。
加えて、推計した合計台数が500万台に近いので、どうしても目立ってしまうのです。
Check point が調べた感染機器のメーカー別の台数 (Check Point)
# 一番多いHONORは、HUAWEIのミッドレンジモデルのシリーズ名です。
異なるメーカーが含まれていることから、流通経路の途中で混入した事が覗えます。
もし、この台数比率と同様のシェアで売り上げている業者が途中に入っているなら、そこが
「怪しい」訳です。(中国でのAppleのシェアは10%程度でしかなく、Androidが主流です。)
Check Pointのリポートでは、杭州を拠点とする“天湃浅装”および “天湃桌面”(天湃系列)
の流通経路を通った機器が、感染機器の半数近くを占めている、と書かれています。
# ”天湃”だけでは見つけられませんでしたが、百度百科で検索してみると、
# ”杭州天湃网络科技有限公司”が見つかりました。その事業内容から、
# この関連会社と思われます。
# 中文表現で言う「三星、HTC、苹果、小米、中兴、酷派、联想、华为」の各メーカー名は、
# それぞれ「Samsung、HTC、Apple、Xiaomi、ZTE、Coolpad、Lenovo、Huawei」の事です。
現在 hztp.net のWebサイトでは、「改版中」しか表示されません。
# 更に、主要取引先が”浙江移动通信有限责任公司”である事が判ります。
# 1,500万回線を持つ会社ですから、そのうち250万回線だとして、「6台のうち1台」
# 程度の比率で、感染しているものを流通させた事になります。
このマルウエア、いまのところ最新版は2017年10月版の様です。
また、新規感染台数も(まだまだ多いものの)減少傾向にあります。
(開発者は2018/02月以降、新しいマルウエアをテスト中の様です。)
とは言え、中古市場に出回ったり、その中古品が並行輸出/並行輸入などで、
国内だけでなく、他国にまで拡散している可能性はあります。
Check Pointが「見つけたらアンインストール」を推奨するのは以下の4つです。
・ com.android.yellowcalendarz 每日黄历
・ com.changmi.launcher 畅米桌面
・ com.android.services.securewifi 系统WIFI服务
・ com.system.service.zdsgt
____
もし見かけたら、「あぁ、これだな」という感じで捉えて頂ければ良さそうです。(笑)
(以上)