ロシアのセキュリティソフトメーカーDoctor Webは1日(現地時間)、40モデル以上の安価なスマートフォンにおいて、出荷段階からトロイの木馬「Android.Triada.231」がインストールされていることを発表した。

Triada.231はAndroidの重要なシステムコンポーネント「Zygote」に感染する。Zygoteはすべてのアプリケーションの起動のために使用されるので、いったん感染すればほかのアプリケーションに侵入でき、ユーザーの介入なしにさまざまな悪意のある行動を実行できてしまう。

しかしTriada.231は、開発者がプログラムを配布しているわけではなく、libandroid_runtime.soというシステムライブラリに注入される。つまり、デバイス製造時にファームウェアに感染していなければならない。よって、ユーザーはスマートフォンを手にしたときから感染していることになる。

Doctor Webは2017年夏頃よりTriada.231の感染を確認し、デバイス製造商にこのことを伝えたのだが、残念ながら2017年12月に発売されたLeagooの「M9」でも感染が確認できたという。研究者らは、Leagooのパートナーである上海のソフトウェア開発企業が、OSイメージ作成時にサードパーティのコンパイル前のコードを、システムライブラリに加えていることが原因だと突き止めたが、議論されることなく最終製品として出回ってしまったのだという。

Doctor Webは下記リストのスマートフォンで感染できていることを確認しているが、理論上これを上回る数のスマートフォンがすでに感染している可能性があるのだという。これは多くのAndroidデバイスメーカーが、セキュリティやトロイの木馬に感染されたシステムコンポーネントに対し注意を払っていないためだとまとめている。

・Leagoo M5

・Leagoo M5 Plus

・Leagoo M5 Edge

・Leagoo M8

・Leagoo M8 Pro

・Leagoo Z5C

・Leagoo T1 Plus

・Leagoo Z3C

・Leagoo Z1C

・Leagoo M9

・ARK Benefit M8

・Zopo Speed 7 Plus

・UHANS A101

・Doogee X5 Max

・Doogee X5 Max Pro

・Doogee Shoot 1

・Doogee Shoot 2

・Tecno W2

・Homtom HT16

・Umi London

・Kiano Elegance 5.1

・iLife Fivo Lite

・Mito A39

・Vertex Impress InTouch 4G

・Vertex Impress Genius

・myPhone Hammer Energy

・Advan S5E NXT

・Advan S4Z

・Advan i5E

・STF AERIAL PLUS

・STF JOY PRO

・Tesla SP6.2

・Cubot Rainbow

・EXTREME 7

・Haier T51

・Cherry Mobile Flare S5

・Cherry Mobile Flare J2S

・Cherry Mobile Flare P1

・NOA H6

・Pelitt T1 PLUS

・Prestigio Grace M5 LTE

・BQ 5510

Doctor Webが提供しているAndroid用のセキュリティ対策ソフト「Dr.Web」をroot権限で実行すれば、Triada.231を除去できるが、root権限で実行できないデバイスの場合、デバイス製造メーカーがクリーンなイメージを提供する必要があるとしている。