記事本文(要約)
中国のメーカー製の安価なAndroidスマートフォンに、トロイの木馬化されたアプリがプリインストールされており、これらのアプリはWhatsAppとTelegramを装い、暗号資産クリッパー機能を持っていることが報告されています。このキャンペーンは2024年6月から行われています。
ロシアのアンチウイルスベンダー、Doctor Webによると、これらの不正アプリは出荷前にコンプロマイズされており、特にSHOWJIブランドの低価格のスマートフォンに多く見られます。アプリは「Shibai」と呼ばれるトロイの木馬を注入するために、LSPatchというオープンソースプロジェクトを利用しています。
このトロイの木馬は、アプリのアップデートプロセスを利用して攻撃者の制御下にあるサーバーからAPKファイルを取得し、仮想通貨ウォレットアドレスを攻撃者のアドレスに置き換えるよう仕向けます。また、デバイス情報やメッセージおよび画像を攻撃者のサーバーに転送する機能も備えています。
このキャンペーンの攻撃者は約1.6百万ドルを得たと推定されるほか、30以上のドメインと60以上のコマンド・アンド・コントロールサーバーを用いて活動を行っています。
さらに、スイスのサイバーセキュリティ企業PRODAFTは、新たなAndroidマルウェア「Gorilla」を発見しました。このマルウェアはデバイス情報を収集し、遠隔サーバーからコマンドを受け取れる機能を持っています。
最近では、Google Playから削除された偽アプリもDNSサーバーを使用して悪意のあるURLを読み込むための設定を取得することが確認され、この活動が続いています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 16 Apr 2025 13:04:00 +0530
Original URL: https://thehackernews.com/2025/04/chinese-android-phones-shipped-with.html
詳細な技術情報
- 脆弱性の仕組み
- この脆弱性は、サプライチェーンを狙い、新しいデバイスに予めマルウェア搭載のアプリをインストールすることで生じています。特に、WhatsAppなど正規のアプリケーションに悪意のあるコードが注入される点が特徴です。LSPatchというオープンソースプロジェクトを用いて、正規のソフトウェアにトロイの木馬を注入しています。
- 攻撃手法
- 攻撃者は、マルウェアをデバイスに埋め込み、WhatsAppとTelegramのような通信アプリの更新プロセスを乗っ取り、攻撃者が管理するサーバーからAPKファイルを取得して実行します。また、これによりチャット中の暗号通貨ウォレットアドレスを攻撃者のアドレスに置き換えることが可能となります。さらに、デバイス情報や画像ファイルを収集し、ウォレット回復フレーズを含むかもしれない情報を攻撃者のサーバーに送信します。
- 潜在的な影響
- 1. 経済的損失: 被害者の暗号通貨ウォレットアドレスが攻撃者に置き換えられることで、送金が攻撃者に奪われ、重大な経済的損失を被る可能性があります。
- 2. プライバシー侵害: デバイス情報や画像ファイルが盗まれることによるプライバシー侵害。
- 3. 信頼性の損失: 中国製デバイスへの信頼性損失。特にブランドイメージに深刻な影響を与える可能性があります。
- 推奨される対策
- 1. 信頼できる供給元からの購入: デバイスは信頼できる公式の供給元または認定店から購入することが重要です。
- 2. デバイスの検証と監視: 購入時や使用中にデバイスのアプリケーションや設定を詳細に確認し、疑わしい変更がないか確認する。
- 3. セキュリティソフトウェアの利用: 正規のセキュリティアプリケーションをインストールし、不正な活動やアプリを監視する。
- 4. ソフトウェア更新の確認: 信頼できるソースからのソフトウェア更新を行い、常に最新の状態を保つ。
- 5. ウォレット情報の保護: 暗号通貨のウォレット情報や復旧フレーズは、安全な場所にオフラインで保管する。
