数百万台以上のAndroidスマホがマルウェアに感染した状態で出荷か

改ざんされたzygoteのコード

　Trend Microは17日、数百万台に上るAndroidデバイスが既にマルウェアに感染した状態で出荷されている可能性があるという研究結果を発表した。詳細は「Black Hat Asia 2023」で発表された。

　Trend Microによれば、「Lemon Group」と名付けられた組織がマルウェア「Guerilla」を仕込んでいるという。Lemon Groupはビッグデータ、マーケティング、広告向け事業を提供しているが、マルウェアによってSMSの傍受、リバースプロキシーのセットアップ、Facebook関連のCookieやWhatsAppセッションの取得、広告の挿入、サイレントインストールなどを実行できる。これによりLemon Groupは不当に利益を得ることができるという。

Lemon Groupの犯罪ビジネス

　Guerillaはもともと正規のアプリを装い、Google Playストアで配信されていたが、既にGoogle Playストアから削除されている。Trend Microのブログの中で、デバイスがなぜGuerillaに感染済みの状態で出荷されたのか明らかにしていないが、メーカーがGoogle公式が提供する以外の機能を追加するために、開発をサードパーティに委託した際に改ざんされ仕込まれたか、ファームウェアを再フラッシュする際に仕込んだ可能性があることを示唆した。

　同社はすでに複数のベンダーの50を超える異なるイメージから、初期ローダーの実装が確認できたという。最新のローダーでは、ほかのペイロードをダウンロードして挿入する際にファイルレステクニックを採用しており、フォレンジック分析が大幅に困難になったという。

　Trend MicroがLemon Groupに関する研究論文を2022年2月に発表したあと、グループはサービスの名前変更し、5月にブランド名を「Lemon」から「Durian Cloud SMS」に変更したが、サーバーなどは変更されなかった。

　また、Lemon Groupはデバイスのリーチ数が890万台とされているが、Trend Microの見積もりでは、事前感染はしているものの通信を行なっていない、攻撃者によって使用またはアクティブ化されていない可能性があり、この数を上回るとしている。Lemon GroupはTrend MicroのBlack Hatのプレゼンテーションの直後、ホスト数に関するページを削除したという。

Lemon Groupに感染したデバイスの分布。これはLemon GroupのWebサイトから2023年3月時点のデータを取得したものだが、Black Hat Asia 2023のあと削除されたという