HUMANは3月5日(米国時間)、「Satori Threat Intelligence Disruption: BADBOX 2.0 Targets Consumer Devices with Multiple Fraud Schemes - HUMAN Security」において、マルウェアをプリインストールしたAndroidデバイス(タブレット、コネクテッドTV、プロジェクターなど)を発見し、その活動の一部を阻止したと報じた。

この動きは昨年12月に一連のAndroidデバイスを発見したドイツ連邦政府情報セキュリティ庁(BSI: Bundesamt für Sicherheit in der Informationstechnik)が、対策を要請した事案につながるもので、影響が世界中に拡大したとして注意を喚起している(参考:「マルウェア入りAndroidデジタルフォトフレーム、当局が確認と使用中止求める | TECH+(テックプラス)」)。

  • Satori Threat Intelligence Disruption: BADBOX 2.0 Targets Consumer Devices with Multiple Fraud Schemes - HUMAN Security

    Satori Threat Intelligence Disruption: BADBOX 2.0 Targets Consumer Devices with Multiple Fraud Schemes - HUMAN Security

進化したサイバー攻撃の概要

昨年BSIにより発見されたマルウェアは、中国との関連が疑われている「BADBOX」とされる。HUMANは新しく発見したマルウェアおよびその活動を従来の「BADBOX」と区別するため、新しく「BADBOX 2.0」と名付けて追跡している。

BADBOX 2.0は従来の活動と同様、廉価なAndroid製品にボットネット型マルウェアをプリインストールするか、または悪意のあるアプリやファームウェアを配布してマルウェアに感染させる手法を使用する。

このマルウェアに感染すると攻撃者のコマンド&コントロール(C2: Command and Control)サーバに接続させられ、ボットネットの一部に組み込まれる。そして、攻撃者はこのボットネットを使用し、次の活動を行うと見られる。

  • プログラマティック広告詐欺
  • クリック詐欺
  • 住宅用プロキシサービスの提供、またはこのプロキシを使用した各種サイバー攻撃

HUMANはBADBOX 2.0に関与した脅威グループとして、以下4つを特定している。いずれもインフラ(C2サーバ)の共有やビジネス上の関係があるとされる。

  • SalesTracker Group - BADBOXの責任者。BADBOX 2.0のC2サーバーを管理していると推定
  • MoYu Group - BADBOX 2.0のバックドア開発者。BADBOX 2.0のサブセットを運用し、住宅用プロキシサービスの提供、広告詐欺キャンペーンに関与
  • Lemon Group - 中国を拠点とする脅威グループ。住宅用プロキシサービスの提供、HTML5ゲームWebサイトにて広告詐欺キャンペーンを実施
  • LongTV - マレーシアのインターネットおよびメディア企業「Longvision Media」が運営するブランド。マルウェアをプリインストールしたコネクテッドTVやアプリを開発。アプリはLemon Groupの広告詐欺キャンペーンに関与している
  • プロキシサービスを宣伝するMoYu Groupのホームページ - 引用:HUMAN

    プロキシサービスを宣伝するMoYu Groupのホームページ 引用:HUMAN

複数のアプリを確認

また、HUMANはマルウェアを含む悪意のあるアプリを24件発見。これらアプリは「Evil Twin(悪魔の双子)」と呼ばれる手法を使用して配布される。

この手法では同一アプリIDを持つ2つのアプリを使用する。公式Google Playストアにはマルウェアを含まないアプリを掲載する。セキュリティソリューションはこのアプリを安全と識別し、アプリIDをホワイトリストに登録する。

次に、デバイスに悪意のあるアプリをインストールする。これらアプリは同一IDのため、セキュリティソリューションは安全として検出しない可能性がある。

  • BADBOX 2.0アプリの例 - 引用:HUMAN

    BADBOX 2.0アプリの例 引用:HUMAN

影響

昨年ドイツで確認されたBADBOXの活動では、約3万台のデバイスがドイツ国内に流通したとされる。今回HUMANが特定したBADBOX 2.0では攻撃が大幅に拡大し、世界中に100万台以上のデバイスが流通したとされる。

これらデバイスは「Android Open Source Project」にて公開されているAndroidを搭載している。つまり、GoogleのPlay Protect認証を受けておらず、安全性の確認が行われていない製品となる。

  • BADBOX 2.0感染デバイス数の国別統計 - 引用:HUMAN

    BADBOX 2.0感染デバイス数の国別統計 引用:HUMAN

国別の感染デバイス統計ではブラジル(37.62%)が最もが多く、これに米国、メキシコ、アルゼンチン、コロンビアが続く。日本への影響は定かではないが、世界中の222の国と地域からBADBOX 2.0のトラフィックが観測されている。

対策

GoogleはBADBOX 2.0に関連するアカウントを広告エコシステムから削除し、同社の広告プラットフォームから収益を得ることがないように措置を講じた。

HUMANはマルウェアのプリインストールを確認した製品のモデル一覧を、セキュリティ侵害インジケーター(IoC: Indicator of Compromise)として公開した。すべての製造ロットにマルウェアが存在しているとは限らないが、攻撃を確実に回避するため、速やかに製品の使用を中止するか、インターネットから切断することが推奨されている。

BADBOX 2.0は今後も継続される可能性が高い。そのため、安全性の確認されていない製品には注意する必要がある。特にPlay Protect認証を受けていないAndroid製品には高いリスクがあることを認識し、購入しないことが望まれている。