Android端末に、出荷前の段階でマルウェアが仕込まれていた可能性があることが分かりました。セキュリティ企業Kasperskyの研究者が、新たなAndroidバックドア「Keenadu」を発見したと報告しています。
通常、マルウェアは不審なアプリや怪しいファイルのダウンロードを通じて感染します。しかし今回問題となっているのは、端末のファームウェア構築段階で不正コードが組み込まれていた点です。つまり、ユーザーの手元に届く前から感染していた可能性があるということになります。
ビルド工程で組み込まれた不正コード
Kasperskyの説明によると、Keenaduはファームウェアのビルド工程中に悪意ある静的ライブラリとして組み込まれたといいます。このライブラリはlibandroid_runtime.soにリンクされ、端末上で起動するとZygoteプロセスに自身を挿入する仕組みを持っていました。
ZygoteはAndroidにおける重要なシステムプロセスで、多くのアプリがここから派生して起動します。そこに侵入することで、攻撃者は広範囲にわたる制御権を得る可能性があります。
さらに、一部のケースでは、問題のあるファームウェアがOTAアップデート経由で配信されていた例も確認されたとのことです。
サプライチェーン攻撃の可能性
今回の事案は、いわゆるサプライチェーン攻撃によるものとみられています。ファームウェアの供給過程のどこかで改ざんが行われ、ソースコード内に悪意ある依存関係が混入した可能性があるということです。
この場合、端末メーカー自身も感染に気付かないまま製品を市場に出荷していた可能性があります。現時点で確認されている感染台数は約1万3,000台に上るとされていますが、影響を受けた具体的なブランドやモデル名は公表されていません。
対象ベンダーにはすでに通知が行われており、クリーンなファームウェアへの更新が進められているとみられます。
Googleの見解とユーザーへの影響
この件についてGoogleは、Play Protect認証を受けた端末であれば自動的に保護されると説明しています。
Google Play開発者サービスを備えた端末では、Google Play Protectが既定で有効になっており、既知のKeenadu関連挙動を示すアプリを警告・無効化できるとしています。これはPlayストア外からインストールされたアプリであっても対象になるとのことです。
そのため、ユーザー側で特別な操作が必要になるケースは限られる可能性があります。ただし、セキュリティ対策として、自身の端末がPlay Protect認証済みかどうかを確認しておくことが推奨されます。
今回の事例は、アプリのインストール時だけでなく、端末の製造・供給過程そのものが攻撃対象となり得ることを改めて示しました。メーカー側の管理体制強化はもちろんのこと、ユーザー側も定期的なアップデート適用やセキュリティ機能の有効化を心がけることが重要になりそうです。
