【安全確認】NTTレゾナント・gooの格安スマホ「g07」にアドウェア混入か→公式が否定→トロイの木馬「Triada」検出→調査の結果「誤検出」と判明

このエントリーをはてなブックマークに追加

NTTレゾナントが手がける「goo」ブランドで販売されている格安スマホにアドウェアが混入した可能性があり、ユーザーが阿鼻叫喚の様相を呈していました。現在は問題が解決しています。詳細は以下から。

事の発端はgooブランドの格安スマホ「g07」のファームウェアアップデート。開発元のcoviaが3月21日に公開しました。

するとアップデートをインストールしたユーザーから「広告が強制的に表示されるようになった」という苦情が。複数のユーザーで発生しているため、どうやら公開されたファームウェアにアドウェアが混入されていたとみて間違いないようです。

今回の件を受け、有志からこのような応急処置に関する情報が寄せられています。

「混入したのはアドウェアだけなのか」「個人情報に影響は無いのか」など、どうしても不安になってしまう今回の混入問題。

2017年3月24日12時30分現在、gooの格安スマホ販売ショップ「gooSimseller」、coviaの公式ツイッター共に注意喚起は行われていませんが、開発元・販売元のいずれも実機での動作チェックを行わなかったのでしょうか。

ちなみにg07本体はこんな感じ。5.5インチフルHD(1920×1080)IPS液晶にMediaTekのMT6750T(1.5GHz×4、1.0GHz×4)、3GB RAM/32GB ROM、3000mAhバッテリー、1300万画素カメラなどを備えたAndroid 6.0スマホで、DSDS対応+1万9800円という価格設定が強みのモデルです。

・12:50追記
Buzzap!編集部でNTTレゾナントに「御社が販売しているg07のアップデートファイルにアドウェアが混入された可能性がインターネット上で指摘されていますが、把握されていますか」と問い合わせたところ、折り返し連絡するという回答でした。

・13:46追記
NTTレゾナントに進捗状況を問い合わせたところ「アドウェア混入の可能性があるのかどうかという部分も含めて、現在社内確認中」とのことでした。

ちなみに同社運営のIT・家電情報サイト「ITライフch」にも何の情報も無く、代わりに「あなたのスマホ、ウイルスに感染していませんか? 知っておきたいウイルス感染の症状と対策」という記事がトップに掲載されるという、皮肉な事態となっています。

・16:39追記
NTTレゾナントに重ねて進捗状況を問い合わせたところ、今なお「社内確認中」とのことでした。該当するアップデートの提供を取りやめたかどうかについて確認を試みたものの、合わせて確認中という回答。

gooSimseller、coviaの公式ツイッターともども沈黙を保っていますが、報告が上がっている以上、せめて注意喚起くらいはした方がいいのではないでしょうか……。

・18:50追記
NTTレゾナントから「アップデートの公開は16時に止めた」という連絡がありました。原因に関しては現在確認中とのこと。

アップデートの公開を止めた旨などの告知は公式ページで行っておらず、原因が分かり次第告知する予定としています。

・3/27 0:30追記
3月25日未明にNTTレゾナントがBuzzap!編集部に以下のように回答し、「広告が勝手に表示されるのは利用者のせい、g07は安全」と宣言しました。「gooヘルプ」「gooSimseller」に本件に関する報告が掲載されています。

本事象が発生している端末を確認したところ、その端末には、特定の広告モジュールがインストールされ、動作していることが判明しました。
弊社は、g07向けに提供した過去すべてのファームウェアと、プリインストールアプリのすべてのアップデートデータを調査したところ、それらでは当該広告モジュールは生成されないことを確認いたしました。当該広告モジュールは、g07のファームウェアやプリインストールアプリのアップデートデータによって生成されたものではありません。

g07固有の事象では無く、ユーザーさまの各アプリサービス等の利用形態、環境等によるものと弊社では判断しております。

開発元のcoviaの見解も同じ。g07のせいでなくユーザーがインストールしたアプリによるもので、「端末初期化により広告モジュールも消去され、広告は止まります」と宣言しています。

しかしどう考えてもアップデートが行われたタイミングで広告が表示されるようになるというのは不自然な話であるわけですが、この問題を検証している利用者がシステムUIのapkファイルをウイルススキャンしてみたところ、トロイの木馬「Triada」が検出されました。

coviaが推奨するファクトリーリセットを行った上で、外部通信を完全に遮断した状態で判定しても他のユーザーが試しても結果は同じ。つまりg07はアドウェアどころかトロイの木馬が混入する最悪の事態となっているわけです。

Androidを狙う組織犯罪「Triada」| カスペルスキー公式ブログ

なお、セキュリティ大手・Kasperskyによると今回検出されたTriadaは「当社のマルウェアアナリストがこれまでに遭遇した中で最も高度なマルウェアの1つ」とのこと。

ページで解説されているTriadaの機能をざっくりまとめるとこんな感じ。本当に安全が確認されるまで、少なくともg07でゲームをプレイしない方が良さそうです。

1.すべてのアプリのテンプレートとして使用されるAndroid OSのコアプロセス「Zygote」に変更を加え、デバイス上で起動されるアプリにもれなく入り込む
2.システム機能を置き換えて、実行中のプロセスとインストール済みのアプリの一覧にTriadaモジュールが表示されないようにするため、感染したシステムは不審なプロセスを認識できず、持ち主に警告を発することができない
3.SMS機能に手を加えるため、アプリ内課金利用時にSMSを用いるゲームに課金すると、アプリの開発者でなくマルウェアを操る犯罪者にお金が送られる

さすがにシャレにならない今回の事態。「g07固有の事象では無く、ユーザーさまの各アプリサービス等の利用形態、環境等によるもの」というgooの調査結果と真っ向から対立する結果となりましたが、はたしてどちらが正しいのでしょうか。

・3月28日追記
g07(CP-J55a)におけるウィルスやマルウェアに対する安全性の検証結果について | サポート | SIMフリースマートフォン FLEAZ mobile | covia

開発元のcovia公式ページによると、「SystemUI.apk」の1115版(2016年の開発途中のバージョン)において、単体で検査すると「Android.Trojan.Triada.EX」と誤判断するものがあることがあったそうです。

このライブラリはシステムロック画面に機能を追加するためのもので、これがウィルス検出サービス「virustotal」に使われている検知ソフトの一部に誤判断されているとのこと。実際にg07ではシステムロック画面に機能は追加しておらず、このライブラリは機能していないとされています。

さらにcovia公式ツイッターにおいても解説。ユーザーから不安の声が上がっていた「linode.com」に対する通信などは、g07において実装されていない機能が動いた結果で、次回のファームウェア更新で削除する予定としています。


・関連記事
Androidのバージョンアップを怠るスマホメーカー、Googleがリスト化してランク付けへ | BUZZAP!(バザップ!)

【注意】LINEに新たなスパム登場、新機能「電話番号から友だち検索」の弊害か | BUZZAP!(バザップ!)

「ウィルスメール開封」だけじゃない、日本年金機構の絶句するほどザルなセキュリティ管理が次々と明らかに | BUZZAP!(バザップ!)

サムスン製スマホを狙い打ちする凶悪なマルウェア「Kemoge」登場、ルート化して完全支配下に | BUZZAP!(バザップ!)

このエントリーをはてなブックマークに追加