トロイの木馬マルウェア「Triada」が事前にインストールされた偽造Androidデバイスが発見される

Security

記事本文(要約)

新しいバージョンのTriadaトロイの木馬が、何千もの新しいAndroidデバイスにプリインストールされていることが発見されました。これはデバイスが設定されるとすぐにデータを盗むことが可能です。Kasperskyの研究者によると、このキャンペーンは主にロシアのユーザーに影響を及ぼし、2025年3月13日から27日までの間に少なくとも2600件の感染が確認されています。

このマルウェアは、人気スマートフォーンの偽造品にプリインストールされ、オンラインストアで安価に販売されています。Triadaは最初2016年に発見され、デバイスのRAM内で活動することで検出を回避するモジュール型Androidマルウェアとして知られています。最新バージョンはAndroidのシステムフレームワーク内に隠れ、デバイスの全プロセスにコピーされて活動します。新しいTriadaは、メッセージアカウントの窃盗や仮想通貨のハイジャックなど、数多くの悪意ある活動を行います。Kasperskyは感染経路を確定できないものの、サプライチェーン攻撃が原因であると推測しています。このリスクを軽減するためには、正規の販売代理店からスマートフォンを購入することが推奨されています。疑わしい場合は、Googleや信頼できるサードパーティ製のクリーンなシステムイメージでリフラッシュすることが推奨されます。

※この要約はChatGPTを使用して生成されました。

公開日: Wed, 02 Apr 2025 09:57:23 -0400

Original URL: https://www.bleepingcomputer.com/news/security/counterfeit-android-devices-found-preloaded-with-triada-malware/

詳細な技術情報

  • 脆弱性の仕組み
    • Triadaトロイの木馬は、Androidデバイスのファームウェアに事前にインストールされており、そのためユーザーがスマートフォンを初めてセットアップした際からすぐにデータを盗むことができます。もしデバイスの製造過程や流通段階でファームウェアが改ざんされているのであれば、これを「サプライチェーン攻撃」と呼びます。
  • 攻撃手法
    • Triadaの攻撃手法は以下の通りです:
      • クラウドやソーシャルメディアアカウントの盗難
      • メッセンジャーアプリ(WhatsAppやTelegram)経由でユーザーになりすましてメッセージを送信または削除
      • 暗号通貨アドレスを入れ替えることによる資産の乗っ取り
      • ブラウジング活動の追跡およびリンクの入れ替え
      • 通話中の電話番号を偽装し、会話をリルート
      • SMSメッセージの傍受、送信、削除
      • プレミアムSMSを用いた不正課金
      • リモートからのアプリのダウンロードと実行
      • ネットワーク接続を遮断して検出を回避または防御を妨害
  • 潜在的な影響
    • このトロイの木馬の影響としては、以下が挙げられます:
      • 盗まれた暗号通貨による経済的被害
      • 個人情報やアカウントの不正利用
      • 通信の乗っ取りや傍受
      • デバイスの性能低下や不安定化
      • 不正な請求による金銭的な損失
  • 推奨される対策
    • 正規の販売代理店からのみスマートフォンを購入する。オンラインでの割引が魅力的であっても、信頼できるソースを選ぶことが重要です。
    • デバイスを購入した直後に、Googleから提供されるクリーンなシステムイメージや、LineageOS、GrapheneOSといった信頼できるサードパーティROMを用いて再フラッシュすることで、事前インストールされたマルウェアを除去します。
    • デバイスが感染している疑いがある場合は、セキュリティソフトウェアを使用してスキャンし、迅速に対処することをおすすめします。
    • 従業員教育を通じて、サプライチェーン攻撃のリスクを理解し、適切な行動を促すことも重要です。