ロシアで販売されている定番のプッシュボタン式携帯電話にマルウェアがプリインストールされていることが判明

Cell-towers-nokia

ロシアのオンラインストアで販売されている低価格プッシュボタン式携帯電話4機種のファームウェアに、悪意のあるコードが組み込まれていることがセキュリティ研究者によって発見されました。

https://habr.com/ru/post/575626/

ロシアのショップで販売されているシンプルなプッシュボタン式の電話機の多くには、文書化されていない不要な機能が搭載されています。

自動的にテキストメッセージを送信したり、オンラインで携帯電話の購入と使用の事実を送信することができます(携帯電話のIMEIとSIMカードのIMSIの送信)。

また、サーバーからダウンロードしたショートコードに有料のSMSメッセージを送信するトロイの木馬を内蔵した機器や、受信したSMSメッセージを悪意のあるサーバーに転送する本物のバックドアを備えた機器もあります。

ロシアのセキュリティ研究者であるValdikSS氏が発表したレポートによると、DEXP SD2810、Itel it2160、Irbis SF63、F+ Flip 3といったプッシュボタン式携帯電話はユーザーをプレミアムSMSサービスに加入させ、検知されないように受信したSMSメッセージを傍受している様子が捉えられています。

これらの携帯電話の通信を傍受するためにローカルの2G基地局を設置したValdikSSによると、これらの端末はインターネット・ブラウザがない場合でも、初めて起動したときに遠隔地のインターネット・サーバに密かに通知していたという。

ValdikSSは、オンラインで購入した5台の旧式電話機をテストしたといい、5台目の携帯電話「Inoi 101」もテストしたが、これらのデバイスは悪意のある動作を示さなかったという。

携帯電話の機種と悪意のある行動

Inoi 101

  • なし

DEXP SD2810

  • インターネット・ブラウザを搭載していないが、ユーザーに隠れてGPRS経由でオンライン接続し、電話機のIMEIコードやIMSIコードなどのデータをリモート・サーバに送信する。
  • リモートサーバーからSMS番号とSMSテキストを取得し、プレミアム番号にSMSメッセージを送信します。また、SMSの確認メッセージを傍受し、ユーザーに代わって返信します。

Itel it2160

  • 「セール」機能は、携帯電話が起動されるとリモートサーバー( http://asv.transsion[.]com:8080/openinfo/open/index )に通知し、IMEIコード、国、モデル、ファームウェアバージョン、言語、起動時間、携帯基地局IDなどの情報を送信します。

Irbis SF63

  • インターネットブラウザを搭載していないが、GPRS経由でオンライン接続し、携帯電話のアクティベーションをリモートサーバーに通知する。
  • 携帯電話の電話番号を取得し、オンラインでアカウントを登録する(例:Telegramなど)。
  • リモートサーバー(hwwap.well2266.com)からコマンドを取得して実行する。

F+ Flip 3

  • 本機は、ファームウェアにハードコードされた電話番号に、電話機のIMEIおよびIMSIコードを記載したSMSを送信します。

ValdikSSは、ベンダーに通知したが、結局ベンダーは彼の報告を無視したという。

ValdikSSによると、このアクティビティを受信したリモートサーバーはすべて中国にあり、すべてのデバイスが製造された後、ロシアのオンラインストアでノキアなどの人気の高いプッシュボタン式電話機の低予算の代替品として再販売されていたとのことです。

悪意のある動作は携帯電話のファームウェアで発見されましたが、このコードがベンダーによって追加されたものなのか、ファームウェアを提供した第三者や出荷時に携帯電話を扱った第三者によって追加されたものなのかは、研究者にも分かりませんでした。

携帯電話のサプライチェーン、バックドア、そしてマルウェア

このような事件は、もはやそれほど珍しいことではなく、過去5年間に何度も同様の事例が発見されています。

  • 2016年11月 – KryptowireとAnubis Networksの報告によると、中国の大手携帯電話メーカーのファームウェア部品を作っていた中国の2社がコードにバックドアのような機能を密かに埋め込んでいたことが判明しました。
  • 2016年12月 – Dr.Webは、Androidスマートフォン26機種のファームウェアにマルウェアが埋め込まれていることを発見しました。
  • 2017年7月 – Dr.Webは、複数のAndroidスマートフォンのファームウェアにTriadaバンキングトロイの木馬のバージョンが隠されていることを発見しました。
  • 2018年3月 – Dr.Webは、同じTriadaトロイの木馬が他の42のAndroidスマートフォンモデルのファームウェアに埋め込まれていることを発見しました。
  • 2018年5月 – Avastの研究者は、141台のAndroidスマートフォンのファームウェアにCosiloonバックドアトロイの木馬を発見しました。
  • 2019年1月 – Upstream Systems社が、Alcatelスマートフォンにプリインストールされたアプリの中にマルウェアを発見。
  • 2019年6月 – ドイツのサイバーセキュリティ機関であるBSIが、2万人以上のユーザーに販売された低予算のAndroidスマホ2台にバックドアを発見。
  • 2020年1月 – Malwarebytesは、米国のAssurance Wireless(Virgin Mobile)が販売したUnimax U673c端末にプレインストールされたマルウェアを発見したと発表しました。
  • ValdikSSは、ロシア国内での最近の事件は、事前のセキュリティ監査を受けずに携帯電話を再販した現地の事業者やベンダーに原因があるとしています。また、これらの報告を受け付けるロシアの通信セキュリティ機関が存在しないことも問題視しています。

Leave a Reply

Your email address will not be published.