ロシアのセキュリティベンダーDoctor Webはこのほど、40を超えるモデルのAndroidデバイスが出荷時にトロイの木馬「Android.Triada.231」に感染していることを伝えた。
Android.Triada.231は、重要なシステムコンポーネントであるZygoteのプロセスを感染させる。このプロセスはあらゆるアプリケーションの起動に使用されるもの。モジュール内に挿入されたトロイの木馬は、実行中の他のアプリケーションに侵入し、ユーザーの介入なしにアプリケーションを密かにダウンロード・起動することが可能になるという。
Android.Triada.231は、 libandroid_runtime.so ステムライブラリ内に埋め込まれているため、製造過程でデバイスのファームウェア内に侵入する。つまり、ユーザーが購入した時点で、デバイスはAndroid.Triada.231感染していることになる。
同社のセキュリティリサーチャーは、感染したデバイスを製造しているメーカーに対して報告を行ったが、新しいスマートフォンのモデルは依然としてこのトロイの木馬への感染を続けているという。
例えば、2017年12月に発売されたLeagoo M9でもAndroid.Triada.231が検出されている。同社の調査によると、このスマートフォンのファームウェアへのトロイの木馬の埋め込みは、Leagooのパートナーである上海のソフトウェアデベロッパーからの要求に応じて行われたことが示されているという。この企業は、モバイルOSのイメージ内に含めるために自社のアプリケーションの1つをLeagooに提供し、そのコンパイル前にシステムライブラリ内に第三者製コードを追加するよう指示していた。
こうしたことから、同社は、 Android.Triada.231の拡散には、モバイルOSイメージ内に追加のプログラムを含むよう要求したデベロッパーが、直接的または間接的に関わっているものと考えられると指摘している。
同社が提供するウイルス対策ソフト「Dr.Web for Android」は Android.Triada.231のすべての亜種を検出するという。