Android malware

ドイツの連邦情報セキュリティ局(BSI)は、国内で販売された3万台以上のAndroid IoTデバイスにプリインストールされたBadBoxマルウェアの動作を妨害した。

影響を受けたデバイスの種類には、デジタルフォトフレーム、メディアプレーヤー、ストリーマー、そして潜在的にはスマートフォンやタブレットが含まれる。

BadBoxは、インターネットに接続されたデバイスのファームウェアにプリインストールされたAndroidマルウェアで、データを盗んだり、追加のマルウェアをインストールしたり、脅威者がデバイスのあるネットワークにリモートアクセスしたりするために使用されます。

感染したデバイスが最初にインターネットに接続されると、マルウェアは脅威行為者が運営するリモート・コマンド・アンド・コントロール・サーバーにコンタクトしようとします。このリモート・サーバーは、デバイス上で実行すべき悪意のあるサービスをBadBoxマルウェアに伝え、ネットワークから盗まれたデータも受け取ります。

BSIによると、このマルウェアは二要素認証コードを盗んだり、さらなるマルウェアをインストールしたり、電子メールやメッセージングプラットフォームのアカウントを作成してフェイクニュースを拡散したりすることができる。また、バックグラウンドで広告を読み込んでクリックすることで広告詐欺に関与し、詐欺集団に収益をもたらすこともできる。

最後に、BadBoxはプロキシとして動作するように設定することができ、他の人々がデバイスのインターネット帯域幅とハードウェアを使用して自分のトラフィックをルーティングできるようにします。この手口はレジデンシャル・プロキシとして知られ、ユーザーのIPアドレスを巻き込んだ違法な操作が行われることが多い。

ドイツのサイバーセキュリティ機関によると、マルウェアが攻撃者のコマンド・アンド・コントロール・サーバーではなく、警察が管理するサーバーと通信するようにDNSクエリをシンクホーリングすることで、BadBoxマルウェア・デバイスとそのコマンド・アンド・コントロール(C2)インフラ間の通信を遮断したという。

Sinkholingは、マルウェアが盗んだデータを攻撃者に送信したり、感染したデバイス上で実行する新しいコマンドを受信したりするのを防ぎ、マルウェアが機能するのを効果的に阻止する。

「BSIは現在、BSI法(BSIG)第7c条に基づくシンクホーリング対策の一環として、感染したデバイスの通信を犯人のコントロール・サーバーにリダイレクトしています」とBSIの発表には書かれている。

「これは、10万人以上の顧客を持つプロバイダーに影響します。BSIがシンクホール対策を維持する限り、これらの機器に急性的な危険はない。”

感染した機器所有者への通知

このsinkholing作戦の影響を受けたデバイスの所有者は、IPアドレスに基づいてインターネットサービスプロバイダから通知を受けることになる

同局によれば、通知を受け取った人は、直ちにそのデバイスをネットワークから切り離すか、使用を停止する必要があるという。残念ながら、このマルウェアはファームウェアと一緒にプリインストールされているため、デバイスの製造元が提供する他のファームウェアは信用せず、デバイスを返却するか廃棄する必要がある。

BSIは、影響を受けたすべてのデバイスは、古いAndroidバージョンと古いファームウェアを実行していたため、BadBoxに対するセキュリティが確保されていたとしても、オンラインで公開されている限り、他のボットネット・マルウェアに対して脆弱なままであると指摘している。

「インターネットに接続可能な製品のマルウェアは、残念ながら珍しい現象ではありません。特に古いファームウェア・バージョンは大きなリスクをもたらす」とBSIのクラウディア・プラットナー会長は警告している。「製造業者や小売業者には、このような機器が市場に出回らないようにする責任があります。しかし、消費者にもできることがあります。サイバーセキュリティは、購入時の重要な基準であるべきなのです」。

さらに、この発表では、Android IoTのメーカーやデバイスのバリエーションが非常に多いため、BSIが今回特定できなかっただけで、BadBoxや同様のマルウェアに感染したデバイスが国内に多数存在する可能性が非常に高いと言及している。

これには、スマートフォンやタブレット、スマートスピーカー、セキュリティカメラ、スマートテレビストリーミングボックス、製造から再販ネットワークまで不明瞭な経路をたどる 様々なインターネット接続家電が含まれる可能性がある。

デバイスがボットネット・マルウェアに感染している兆候としては、一見アイドル時のオーバーヒート、不規則なパフォーマンス低下、予期せぬ設定変更、非定型的なアクティビティ、未知の外部サーバーへの接続などが挙げられます。

時代遅れのAndroid IoTのリスクを軽減するには、信頼できるベンダーのファームウェア・イメージをインストールし、不要な接続機能をオフにし、デバイスを重要なネットワークから隔離しておくことです。

一般的に、スマート・デバイスは信頼できる製造業者からのみ購入し、長期的なセキュリティ・サポートを提供している製品を探すことを推奨する。

更新 12/14– グーグルは以下の声明を発表した:

「感染が確認されたこれらのブランド外の端末は、Playプロテクトの認証を受けたAndroid端末ではありませんでした。Playプロテクト認証を受けていない端末の場合、Googleはセキュリティおよび互換性テストの結果を記録していません。

Playプロテクト認定Android端末は、品質とユーザーの安全性を確保するために広範なテストを受けています。デバイスがAndroid TV OSで構築され、Play Protect認定を受けているかどうかを確認するために、当社のAndroid TVウェブサイトでは最新のパートナーリストを提供しています。また、お使いのデバイスがPlay Protect認定を受けているかどうかを確認するには、以下の手順を実行することもできます。”- グーグル広報担当者