セキュリティ研究者は、世界中で500万台近くのモバイルデバイスに既に感染している大規模なマルウェアを発見しました。

「システムWi-Fiサービス」アプリとして偽装されたマルウェアは、Honor、Huawei、Xiaomi、OPPO、Vivo、Samsung、GIONEEによって製造された何百万もの新しいスマートフォンにプリインストールされていました。

これらすべての影響を受けたデバイスは、杭州に拠点を置く携帯電話の販売代理店であるTian Paiを通じて出荷されたものになりますが、このマルウェアに直接関与しているかどうかはわかりません。

人気のあるAndroid搭載携帯電話にプリインストールされたマルウェア

このマルウェアを明らかにしたチェック・ポイント・モバイル・セキュリティ・チームによれば、安全なWi-Fi関連のサービスを提供せず、悪意のある活動を可能にできる、重要なAndroidの権限を使用する高度なマルウェアであることが判明しています。

2016年3月12日までに、RottenSysに4,964,460台のデバイスが感染したと、研究者らは述べています。
検出を回避するために、偽のシステムWi-Fiサービスアプリは、最初は悪意のあるコンポーネントを持っておらず、すぐに悪意のある活動を開始しません。

代わりに、RottenSysは実際の悪意のあるコードを含む必要なコンポーネントのリストを取得するために、コマンド・アンド・コントロールサーバーと通信するように設計されています。

RottenSysは、ユーザーの操作を必要としない「DOWNLOAD_WITHOUT_NOTIFICATION」権限を使用して、それぞれ必要なコンポーネントをダウンロードしてインストールします。

この巨大なマルウェアは、感染したすべてのデバイスにアドウェアコンポーネントをプッシュし、デバイスのホーム画面にポップアップウィンドウやフルスクリーン広告などの広告を積極的に表示し、不正な広告収入を生成します。

「RottenSysは過去10日間で、積極的な広告を13,250,756回（広告業界ではインプレッションと呼ばれていた）表示、548,822件、広告クリックされた非常に積極的な広告ネットワークです。
チェックポイントの研究者によれば、このマルウェアは過去10日間で115,000ドル以上のクリエータを作ったが、攻撃者は単に「招かれていない広告を表示する」よりもはるかに大きなダメージを与えと言います。

RottenSysはC＆Cサーバーから新しいコンポーネントをダウンロードしてインストールするように設計されているため、攻撃者は何百万人もの感染したデバイスを武器にし、完全に制御することができます。

この調査では、RottenSys攻撃者が既に数百万の感染したデバイスを大規模なボットネットネットワークに変え始めている証拠も明らかになった。

いくつかの感染したデバイスは、新たなRottenSysコンポーネントをインストールしたことで発見されています。

興味深いことに、ボットネットの制御機構の一部はLuaスクリプトに実装されており、介入することなく、攻撃者は既存のマルウェア流通経路を再利用して、すぐに何百万ものデバイスの制御を把握できます。

CheckPointの研究者がサプライチェーン攻撃の影響を受けるトップクラスのマルウェアを発見したのは、今回が初めてのことではありません。

昨年、Samsung、LG、Xiaomi、Asus、Nexus、Oppo、Lenovoに所属するスマートフォンが、ユーザーを脅かすように設計された2つのプリインストールマルウェア、Loki TrojanとSLockerモバイルトランスクリプトに感染していたことがわかりました。

Androidマルウェアを検出して削除するには

デバイスがこのマルウェアに感染しているかどうかを確認するには、Androidシステム設定→App Managerに移動し、次に示す可能性のあるマルウェアパッケージ名を探します。

com.android.yellowcalendarz（每日黄历）
com.changmi.launcher（畅米桌面）
com.android.services.securewifi（システムWIFI服务）
com.system.service.zdsgt

上記のいずれかがインストールされているアプリリストにある場合は、アンインストールするだけです。