『システムにトロイの木馬混入か？』のクチコミ掲示板

[sandbag]

http://buzzap.jp/news/20170324-goo-g07-adware/

事実なら一度ユーザーに責任があると結論を出したgooSimsellerやCoviaの信用に関わりますね。
ユーザーはゲームアプリをインストールしないほうが良いとの事。

書込番号：20770605　スマートフォンサイトからの書き込み

[ナッタロー]

記事中に「カスペルスキーで検出される」とありましたが、検出されませんでした。（広告出た端末です）

書込番号：20770659　スマートフォンサイトからの書き込み

[sandbag]

＞ナッタローさん
apk抜いて実施しました？

書込番号：20770665　スマートフォンサイトからの書き込み

[舞来餡銘]

カスペ以外でもsystem領域チェックするアンチマルウエアアプリ使わないとダメでしょうね

Sophos、Comodoとかね

書込番号：20770738　スマートフォンサイトからの書き込み

[sandbag]

この混乱の中「gooのスマホ g07+」発表・・・

http://prw.kyodonews.jp/opn/release/201703240272/

書込番号：20770781

[舞来餡銘]

初代モデルは無かった事になるのかもね

書込番号：20770824　スマートフォンサイトからの書き込み

[sandbag]

2000円引きで普通に売り切るみたいですね。

書込番号：20770840

[†うっきー†]

＞sandbagさん

新規スレッドに変更して頂きありがとうございます。

メーカの説明で、アドウェア（広告）は確認出来なかったのかもしれませんが、トロイの木馬だとすると、もっとたちが悪いですね。
紹介されているサイトの中で気になる部分を引用しておきます。


>coviaが推奨するファクトリーリセットを行った上で、外部通信を完全に遮断した状態で判定しても、他のユーザーが試しても結果は同じ。つまりg07はアドウェアどころかトロイの木馬が混入する最悪の事態となっているわけです。

ファクトリーリセットでも駄目となると、ユーザーに打つ手はなさそうです。


>なお、セキュリティ大手・Kasperskyによると今回検出されたTriadaは「当社のマルウェアアナリストがこれまでに遭遇した中で最も高度なマルウェアの1つ」とのこと。

今回の件は、誤検知などであって欲しいです。


>2.システム機能を置き換えて、実行中のプロセスとインストール済みのアプリの一覧にTriadaモジュールが表示されないようにするため、感染したシステムは不審なプロセスを認識できず、持ち主に警告を発することができない

通常では検知出来ないとなると、ますますユーザーにはわからないですね。


>3.SMS機能に手を加えるため、アプリ内課金利用時にSMSを用いるゲームに課金すると、アプリの開発者でなくマルウェアを操る犯罪者にお金が送られる

SMSを用いるゲームの課金などは控えた方がよさそうですね。
そのようなアプリがあること自体はじめて知りましたが。


メーカーの方も引き続き調査するとのことですので、今度はトロイの木馬についての公式アナウンス待ちですね。
メーカーの方は、こちらの掲示板はチェックしている可能性があるので、調査してくれると思います。
以前、中古の保証について触れたところ、すぐに公式サイトに追加記載されましたので。
今回の件も、こちらの掲示板を見るか、ユーザーからの報告で、調査して頂けると思います。

書込番号：20770859

[†うっきー†]

>ナッタローさん

たんに、Google Playからセキュリティソフトをダウンロードしてチェックしただけではありませんか？
カスペルスキー インターネット セキュリティ
https://play.google.com/store/apps/details?id=com.kmsjp&hl=ja

チェックする場合は、adbコマンドを利用できる環境を構築し、
adb pull /system
を実行。
本機の場所は手元に端末がないので確認出来ませんが、
adb pull /system/app/SystemUI.apk
だと思いますが。
抜き出した中にある、
SystemUI.apk
をチェックする必要があると思います。

sandbagさんも書かれている通り、「SystemUI.apk」をチェックしていないのではないでしょうか？
確認するなら、問題となっている「SystemUI.apk」をチェックしないと意味がないと思いますが。

で、そのファイルを
https://www.virustotal.com/ja/
でチェックするというものです。

メーカーでも、同じようなことをチェックした後、さらに原因究明に乗り出して頂けるとありがたいです。
誤検知であると明言して頂けると安心できると思います。

書込番号：20770862

[ナッタロー]

＞sandbagさん
＞†うっきー†さん

実施内容は、
スマホ上でフォルダ指定でのチェックです。
（カスペルスキーはアクティベーション済の製品版）

記事中の書き方だと普通のチェックで検出されるような表現でしたが、adb実行環境が必要なのですね。

夜出来れば共有します。

書込番号：20770999　スマートフォンサイトからの書き込み

[†うっきー†]

>誤検知であると明言して頂けると安心できると思います。

https://twitter.com/covia_net
>g07が0320版からトロイが組み込まれたのではという件についての回答です。g07の動作中の状態は、各社のメジャーなアンチウィルスソフトによるファイルのスキャン、及びファイアウォール機能を使った全アクセスの監視を行いウィルスやマルウェアに対する安全性を確認しております。
>システムは何度かFOTAをさせていただいていますが、SystemUI.apkは出荷時点から一切変更していないので、0320版も出荷時点と同一のものが使われています。
>このSystemUI.apkが無料オンライン版ウィルス検出サービス「virustotal」で「Android.Trojan.Triada.EX」を含むと誤判断された件ですが、ファイル単体でウィルススキャンを行った場合に、実際には汚染されていなくても誤判断されるケースがあります。
>ここまでのSystemUI.apkの更新履歴を遡ると、1115版(2016年の開発途中のバージョン)がメジャーなバージョンアップで、ウィルス検知ソフトの一部が、単体で検査すると「Android.Trojan.Triada.EX 」と誤判断するものがあることを確認しました。
>さらに、これがどのライブラリに起因しているかを特定しました。このライブラリはシステムロック画面に機能を追加するためのもので、これがウィルス検知ソフトに誤認されていることがわかりました。実際にg07では画面ロックに機能は追加しておらず、このライブラリは機能していません。
>「Android.Trojan.Triada.EX」と誤判断されたライブラリは出荷時より存在し、3/20に当社が行ったアップデートとは関連はなく、トロイやマルウェアの感染もないので、安全性に懸念はありません。引き続き不正アクセス等のモニタリングは継続してまいります。

誤検知で安心して良いということかと。

書込番号：20771320

[sandbag]

3/20のアップデートファイルじゃなくて、当初からあるSystem.UIが問題ありそうで
実際通信してるっていう話の回答にはなっていない感じですね。

書込番号：20771420　スマートフォンサイトからの書き込み

[ウルフこま犬]

バイナリ解析をしてください。

書込番号：20771942

[Springworms]

このbuzzup.jpって信頼出来るの？

全く検証していないようだし検証する気も無く全くいい加減過ぎる。クレーマーが喜んで食い付きそうだけど、根拠薄弱ないい加減な情報を鬼の首を取ったかのように広めるのも同罪ではないですかね。

書込番号：20772041　スマートフォンサイトからの書き込み

[†うっきー†]

>全く検証していないようだし検証する気も無く全くいい加減過ぎる。クレーマーが喜んで食い付きそうだけど、根拠薄弱ないい加減な情報を鬼の首を取ったかのように広めるのも同罪ではないですかね。

#20771320で記載した通り、メーカーも「Android.Trojan.Triada.EX」が検知されたことは認めつつも、
誤検知であると言っているので、検知については事実のようですね。

我々詳しくない一般ユーザーはメーカーの言い分を信用するしかないと思います。


まだ、不正な通信については、「引き続き不正アクセス等のモニタリングは継続してまいります。」と言われているので、何かあれば都度配信してくれると思います。
メーカーの迅速な発表には、好感を持っています。

書込番号：20772166

[†うっきー†]

twitterと同じ内容がコヴィアのINFORMATIONに追記されたようです。

http://www.fleaz-mobile.com/news/news20170327.html
>g07（CP-J55a）におけるウィルスやマルウェアに対する安全性の検証結果について

書込番号：20772344

[ナッタロー]

adb環境構築、apkを抽出して確認しました。
公式見解出た後なので参考情報です。

・virustotal：Android.Trojan.Triada.EX（検出率: 11 / 57）
・Windows上でapkファイルをチェック（ウイルスバスタークラウド）：検出されず
・apkファイルをスマホに格納してKaspersky：検出されず

書込番号：20772639

[UART]

話題のSystemUI.apkを実機からadbでpullしてみました。
ファイル形式自体はzipファイルと互換なので適当なzipツールで展開できます。
それでどんな実行形式が入っているのか探してみたのですが……見つからないんです＼(^o^)／

PNGファイルやバイナリエンコード済みXML等のデータファイルをウイルス判定していることになるんですが、
Androidの世界はどうなっているんだろうと謎は深まるばかりです。
XMLファイルを「実行」しているんでしょうか。それでトロイの木馬が実装できたりするんでしょうか。

*.dexや*.classや*.so等が見つかればコレかなぁと思うところですが……。
詳しい方はいらっしゃいませんかね?

書込番号：20772680

[sandbag]

広告の件はおいておいて、今のところ実害はないとの事ですが
SystemUIが不要な通信をしてる件の原因がわかれば、ユーザーも安心して利用出来るのではないでしょうか。

バザップってExciteニュースの提供もとの一つで、大手情報サイトが及び腰な事も切り込むので、文春的な読み物として面白いですよ。

書込番号：20773165　スマートフォンサイトからの書き込み

[セミ人間]

初心者です。

広告が出るくらいはまだ我慢できますが、システムUIが以下のアドレスに勝手に通信をするという話に関して
情報を抜かれないかと気になっています。

a1.ue.vip.gq1.yahoo.net
agentportal.flury.vip.bf2.yahoo.com
li857-59.members.linode.com

応急措置として何をすればいいでしょうか。アドバイスよろしくお願いいたします。

書込番号：20773169

[sandbag]

NoRootファイアウォール入れてブロック

書込番号：20773264　スマートフォンサイトからの書き込み

[†うっきー†]

>応急措置として何をすればいいでしょうか。アドバイスよろしくお願いいたします。

気になるようでしたら、通信をブロックすればよいのではないでしょうか。
sandbagさんも記載されているアプリ（NoRootファイアウォール）等で。
https://play.google.com/store/apps/details?id=app.greyshirts.firewall&hl=ja


本件とはあまり関係ないかもしれませんが、デフォルトで入っている、レビュー評価が1.2と極端に低いg07ホームですが、
https://play.google.com/store/apps/details?id=jp.ne.goo.app.home.g07&hl=ja
これって、ニュースの受信などホームアプリの設定から止めれなかったですよね。
私が見つけれなかっただけかもしれませんが。
最初の初期設定でデフォルトがg07ホームを入れる方向に持っていっているので、初心者の人（ホームの変更方法がわからない人）は困ってないのかなーと思いました。


後は、メーカーが不審だと思われている通信の必要性（安全性）などを、発信して頂けると安心できますね。

書込番号：20773566

[†うっきー†]

>後は、メーカーが不審だと思われている通信の必要性（安全性）などを、発信して頂けると安心できますね。

https://twitter.com/covia_net
>g07においてSystemUIがアクセスしているhttp://linode.com は、本来持っている壁紙の更新機能のためにサーバーに定期アクセスしているものです。g07はこの壁紙更新機能は現在停止しており、このアクセスは不要なものですが、不正なアクセスではありません。
>g07において8070ポートを通じて短い電文を送っているのは、g07と基本コードを共有している他のプロジェクトにおいて利用しているコードの一部が残っており、アクセスが発生しているものです。実体のアプリは実装されておらす動作はありません。バグであり、不正なアクセスではありません。
>どちらも不正目的のアクセスではありませんが、g07には不要なアクセスなので次回のファームウェア更新時に削除させていただく予定です。その前に3/24 16時に調査のため一旦中断したソフトウェアアップデート(0320)を再開させていただきます。

要約すると、
不要なアクセスと不具合によるアクセスだった（不正なものではない）ため、次回のファームではアクセスをしないように修正。
これで、現在ユーザーから指摘があった部分については、すべて調査終了（問題はなかった）のようで、ファーム配信を停止していたのを再開。
安心して利用出来ますね＾＾

書込番号：20773981

[舞来餡銘]

SystemUIに手が入るなら安心出来ますね

フットワーク軽いのは勇み足も有りますが、対応してくれるだけ有難いですね

書込番号：20774281　スマートフォンサイトからの書き込み

[sandbag]

ユーザーからの報告が無ければ気づかなかったのは心配ですが、対応してくれるだけマシですね。
他の通信も大丈夫かな？

書込番号：20774360　スマートフォンサイトからの書き込み

[舞来餡銘]

http://m.twilog.org/kuro_dancho/

SystemUI.apkを分解解析してる人の話では広告サーバー接続するロジック(Javaクラスモジュール)が存在するのは明らかの様です

goo g07はCoolpadシリーズのファームウエアをそのまま利用してるのが原因の様です

Coolpad MAXの筐体を利用し、Coolpad Modena 2のファームウエアを転用した様なモデル

http://m.gsmarena.com/coolpad_max-8165.php

http://m.gsmarena.com/coolpad_modena_2-8326.php

書込番号：20776167　スマートフォンサイトからの書き込み

[舞来餡銘]

失敬、どっちかと言うとCoolpad TorinoのROM,RAMにMT6750T+3000mAhバッテリーを無理矢理詰め込んだ機種みたいですね

http://m.gsmarena.com/coolpad_torino-8273.php

書込番号：20776182　スマートフォンサイトからの書き込み

[†うっきー†]

https://twitter.com/covia_net
>今晩中に配信開始すべくg07のFW準備しています。今回の修正によりメジャーなアンチウイルスソフトではすべて正しく判定されます。但し中国製のQihoo360(Security360)だけはまだ誤判断されますが、本件に関しましては引き続き調査継続します。不要なアクセスも除去されます。

不要なアクセスを削除することで、通信量も減って、重量制のSIMを使っている人は助かるかもしれないですね。

必要な通信まで削除されて、トラブルが出るようなことはないとは思いますが。

書込番号：20777485

[舞来餡銘]

SystemUI.apkに手が入ってる事を願います

これが確かならg07+は買いでしょう

書込番号：20777540　スマートフォンサイトからの書き込み

[sandbag]

なかなか参考になる検証されています。

https://twitter.com/kuro_dancho/status/848205213181722625

書込番号：20786287　スマートフォンサイトからの書き込み

[†うっきー†]

Yahooで「odex android」で検索してみました。

要約すると、通常のアプリはapkファイル１つだけど、
プリインストールアプリはapkとodexファイルに分かれているため、apkとodexをペンパイナッポーアッポーペンすると、通常のapkファイルが出来る。
今までは、odexが含まれない部分を問題にしていたけど、apkとodexを合体させて通常のapkにすると、再度、マルウェア判定されたということみたいですね。

今度は、odexに怪しい部分があるのではないかということみたいですね。

再度、コヴィアから、何かアナウンスがあると思います。
今度も、きっと誤検知ですよ。大丈夫のはず・・・・震え声

書込番号：20786573

[sandbag]

はい、あっぽーぺんしたら検知されるってやつです(笑)
yahoo.comにアクセスする件も無かったことになってるらしいですし、心配です。

これ心配なのが、これまでもユーザーが調査して発覚するパターンばかりなので
Covia自体は自力で検証する力が足りないって事ですよね。
となると、g07+も当然懸念があるわけで・・・。

対応するだけまだマシっていう擁護しかできません。

書込番号：20786648