890万台のAndroidデバイスにマルウェアGuerrillaが仕込まれて出荷

Trend Microは、890万台のAndroidデバイスに「Guerrilla」と呼ばれるマルウェアがプリインストールされていると伝えた。Lemon Groupというサイバー犯罪組織が仕掛けたものだと分析されている。

[後藤大地，有限会社オングス]

　Trend Microは2023年5月17日（現地時間）、「Android」スマートフォンなどを狙ったマルウェア「Guerrilla」を発見したと報じた。

　Guerrillaはサイバー犯罪組織「Lemon Group」によって、50以上のブランドのAndroidデバイスにあらかじめ仕込まれたものとみられており、全世界での被害は180カ国以上に及ぶとされている。

Guerrillaは細工したファームウェアによってAndroid向けデバイスに仕込まれた（出典：Trend MicroのWebサイト）

890万台のAndroidデバイスに影響か？　IoT製品にも感染

　スマートフォンやIoTデバイスなど、最近のデバイスは後からソフトウェアを更新する機能を備えている。サイバー犯罪者はこれを新しい"ビジネスチャンス"と考え、細工したファームウェアに置き換えて製品を販売する攻撃手法を拡大している。Trend Microの発表によると、システムライブラリ「libandroid_runtime.so」が改ざんされ、「println_native（）」関数にコードが注入されていたことが明らかになった。

　Lemon Groupは890万台のデバイスにGuerrillaを感染させたと主張している。Trend Microによると、Lemon GroupはGuerrillaを利用してグループ全体でさまざまな犯罪行為を実行しているという。このマルウェアが備える主な機能は以下の通りだ。

• 受信したショートメッセージ（SMS）を傍受する機能。「WhatsApp」や「JingDong」「Facebook」などさまざまなプラットフォームからのワンタイムパスワード（OTP）を窃取する
• 侵入したスマートフォンなどでリバースプロキシを設定し、そのネットワークリソースを自分たちのビジネスに使用する
• Facebook関連のクッキーの窃取やWhatsAppセッションの乗っ取り
• 人気のアプリをフックしてイベントリクエスト広告を起動
• サイレントインストールとインストールされているアプリの起動

　Lemon Groupのビジネスはビッグデータやマーケティング、広告など幾つかが確認されているが、Trend Microは特にビッグデータに関するビジネスが主要なものだと指摘している。Lemon Groupはマルウェアを仕込んだスマートフォンから膨大なデータを得ており、これを活用して効果的に広告事業の展開や感染拡大などを続けている。

　Trend Microは今回、主にスマートフォンに関する調査を発表したが、これ以外にも以下のIoTデバイスにもマルウェア感染が確認されたと説明している。

• スマートテレビ
• Android TVボックス
• Androidベースのディスプレイやエンターテイメントシステムなどその他のディスプレイデバイス
• 子ども向けのAndroidベースウォッチ

　Trend Microは、2021年にLemon Groupとbotネットを発見した。その後の研究で、このグループは少なくとも2018年にはネットワークを確立していたことが確認されている。