デジタルセキュリティ製品のグローバルリーダーであるAvastの脅威研究所は本日、ZTE、Archos、myPhoneなどのメーカーが提供する、数百種類ものAndroidのデバイスモデルおよびバージョンに、アドウェアがプレインストールされていることを発見しました。これらのデバイスの大半は、Googleによる認証を取得していません。当該アドウェアは「Cosiloon」の名称で知られており、ユーザのブラウザ内でWebページにオーバーレイ広告を作成します。この影響を受けているユーザ数は数千人に上るとみられます。過去1カ月だけでも、アドウェアの最新版がアメリカ、ロシア、イタリア、ドイツ、英国など、100カ国以上の約1万8,000台のAvastユーザのデバイスで発見されています。
このアドウェアは以前、Dr. Web が分析・解説していたもので、少なくとも3年間は活動しています。ファームウェアレベルでインストールされており、強力な難読化技術が用いられているため、その除去は困難です。Avast 脅威研究所はGoogle社に連絡しており、同社はすでにこの問題を認識しています。Google社は現在、自社開発の技術を活用し、複数のデバイスモデルの多数のアプリの亜種について、悪意ある機能の軽減策を取っています。
将来的にこうしたアプリを対象とするため、Google Play Protectも更新されています。しかし、ファームウェアの段階でアプリがプレインストールされている場合、問題の解決は困難です。Googleはファームウェアの開発者に対して、こうした懸念事項を認識するよう訴えると同時に、問題解決に向けた対策を取ることを奨励しています。
Cosiloonの特定
この数年間、Avast 脅威研究所はこれまでにも自社のデータベース内に奇妙なAndroidサンプルを発見、分析してきました。こうしたサンプルは、他のアドウェアサンプルと類似しているように見えますが、感染ポイントは存在しないと思われます。一般的には以下のような、似たようなパッケージ名が複数使用されています。
com.google.eMediaService
com.google.eMusic1Service
com.google.ePlay3Service
com.google.eVideo2Service
本アドウェアがどのようにデバイスに実装されたかは、定かではありません。コントロールサーバーは2018年4月まで稼働しており、作成者は新たなペイロードによって、アップデートを継続していました。メーカー各社は、ドロッパーのプレインストールされた新型デバイスを出荷し続けました。アンチウィルス・アプリの中には、ペイロードを報告するものもありますが、ドロッパーはまたすぐにペイロードをインストールし、ドロッパー自身の消去は不可能です。そのため、知らない誰かがアプリケーションをインストールできる手段が、デバイス内には永久に残ることになります。Avast 脅威研究所は、ドロッパーがデバイスにアドウェアをインストールするのを観察しており、スパイウェアやランサムウェア、その他の脅威についても容易にダウンロードできます。
Avastは、ドメインのレジストラとサーバーのプロバイダーに削除要請を送ることで、CosiloonのC&Cサーバーの無効化を試みてきました。最初にコンタクトしたプロバイダーのZenLayer社は迅速に対応し、サーバーを無効化したものの、その後しばらくして、別のプロバイダーを用いて復旧されています。ドメインのレジストラは当社の要請に応じず、C&Cサーバーは今も稼働しています。
Avastのモバイル脅威インテリジェンスおよびセキュリティ部門責任者であるニコラオス・クリサイドス(Nikolaos Chrysaidos)は、次のように述べています。「残念なことに、悪意あるアプリは、お客様に出荷される前に、ファームウェアレベルでインストールされている可能性があります。おそらくメーカー側もこのことは知りません。ファームウェアレベルでアプリがインストールされた場合、消去は極めて困難であり、セキュリティベンダー、Google、およびOEMメーカーによる業界全体のコラボレーションが不可欠となります。私たちが力を合わせることで、Androidユーザにより安全なモバイルエコシステムを提供できます。」
AvastのAndroidデバイス向け製品、Avast Mobile Securityはペイロードの検知・アンインストールには対応していますが、ドロッパーの無効化に必要な許可を得ることはできないため、Google Play Protectの役割が重要となります。デバイスが感染した場合、ドロッパーとペイロードの両方を自動的に無効化する必要があります。Google Play ProtectがCosiloonを検知し始めてから、最新版のペイロードに感染したデバイスの数が減少していることを確認できたため、この方法が有効であることが判明しました。
Cosiloonを非アクティブ状態にする方法
ユーザは、設定画面の中の一般的なAndroidアイコンに「CrashService」、「ImeMess」、または「Terminal」の名前が付けられたドロッパーを見つけ、アプリページにて「無効化」にすることができます(Androidのバージョンによって異なる場合があります)。これによってドロッパーは非アクティブ状態となり、Avastがペイロードを消去すると、復活することはありません。
Avast Mobile Securityは、Google Play Storeから無償でダウンロード可能です。モバイルの脅威からユーザを保護するため、Avastは現在、米国の4大キャリアを含む、世界中のモバイルキャリアとも協業を行っています。
(以上)