意図性評価ツール

不正機能事例詳細

不正機能事例の詳細情報

Yulong Computer Telecommunication Scientific社が販売する「Coolpad」スマートフォン上の多機能バックドア実装事例

不正機能の分類

バックドア

概要

Yulong Computer Telecommunication Scientific社が販売するAndroidスマートフォン「Coolpad」において、偽OTA通知・サイレントインストール・SMS挿入・端末情報送信など多機能のバックドア「CoolReaper」が実装されていることが確認された。

不正機能の実装箇所

  • 不正機能の実装箇所1

    入力: Androidスマートフォンにおいて発生するBOOT_COMPLETED等のイベント ``` (イベント例) - BOOT_COMPLETED(端末の起動が完了) - CONNECTIVITY_CHANGE(ネットワーク接続状態の変化) - USER_PRESENT(ロック解除) など ```

    トリガー: HTTP POSTリクエストを使用して、C2サーバからコマンドを受信すること。 * 補足① - BOOT_COMPLETED、CONNECTIVITY_CHANGE、USER_PRESENT等のイベントが発生すると、DMPコンポートネントはバックグラウンドでcom.android.update.dmp.SystemOptServiceという名前のサービスを起動する。 - そして、当該サービスがC2サーバからのコマンドを受信する。 * 補足② - 以下のドメイン名およびIPアドレスがC2サーバの宛先となる。 - dmp.51Coolpad.com - dmp.coolyun.com - 13.142.37.149 - 上記ドメインは、Coolpadによって登録され、同社のパブリッククラウドサービスに使用されている。また、unit42の分析時点において、上記ドメインのIPアドレスは13.142.37.149となっていた。

    ペイロード: ユーザーの同意や通知なしに、任意のAndroidアプリケーションをダウンロード、インストール、または有効化する ユーザーデータを消去し、既存のアプリケーションをアンインストール、またはシステムアプリケーションを無効化する デバイスを更新しない偽のOTA(Over-the-Air)アップデートをユーザーに通知し、不要なアプリケーションをインストールする 任意のSMSまたはMMSメッセージを送信、または端末に挿入する 任意の電話番号に発信する デバイス情報、位置情報、アプリ使用状況、通話履歴、SMS履歴をCoolpadサーバーにアップロードする

    特権状態: システム権限によって以下のコンポーネントが実行される。 - DMPコンポ-ネント(com.android.update.dmp):C2サーバからコマンドを取得しデバイスをリモートで制御する役割を担う。 - ICUコンポーネント(com.android.icu):ユーザ情報を収集し、C2サーバに送信する役割を担う。

    CVE: CVE-IDは採番されていない。

    CVSS: 基本評価値:9.8(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

    非制御ロジック:

    難読化

    • ProGuard(シンボル名を難読化することでリバースエンジニアリングをより困難にするツール)によって難読化されていた。

    名称によるカモフラージュ

    • ファイル名は偽装されていた。
    • Yulong社(Coolpadの開発企業)は、顧客からの苦情を受けて、APKファイル名をCP_DMP.apkからGoogleGmsFramework.apkへ変更した。
    • Unit42のレポートでは、この変更は正規のGoogle Mobile Services(GMS)Frameworkであるかのように見せかけるための偽装であると指摘されている。

    永続化

    • CP_PMK.apkファイル(CoolReaperの構成要素の一つ)を削除しても、自動的に再インストールされてしまう。

    その他検知回避・解析困難化手法

    • CoolManager(YuLongが開発したプリインストールのセキュリティアプリケーション)は、DMPコンポ-ネントをスキャン対象から除外していた。
    • また、ユーザーから隠ぺいするという視点ではあるが、Unit42のレポートにおいて以下が挙げられていた。参考として記す。
      • CoolReaperの表示上のアプリケーション名は「Android.System」であり、別の実際のシステムアプリケーションのアイコンを使用している。
      • 当該アプリはインストール済みパッケージのリストから隠ぺいされてた。これにより、ユーザーからパッケージを隠すだけでなく、ウィルス対策ソリューションやモバイルデバイス管理ソリューションからも隠ぺいされる。
      • CoolReaperによって生成された通知は、通知元のアプリケーション情報(つまり、CoolReaper)を表示しなくなり、ユーザーはそれを生成したアプリケーションを特定できなくなる。

脅威アクターに関する説明

  • Yulong Computer Telecommunication Scientific(Shenzhen) Co., Ltd.
    • 製品開発者である。
    • 判断根拠は以下
      • 本不正機能に関するウォール・ストリート・ジャーナルの質問に対して、Yulong社は以下を回答しているため。
      • この機能は自動ダウンロードを希望するユーザーの利便性を向上させることで、ユーザーエクスペリエンスを向上させるために設計された。
      • また、Unit42のレポートにおいて以下が考察されている。
      • このバックドアはCoolpadによって作成・インストールされたと我々は考えている。理由は、特定した全てのCoolReaper APKファイルはCoolpadに属する証明書で署名されており、41の感染済みストックROMも同様の証明書で署名されているため。

脅威アクター情報

  • Yulong Computer Telecommunication Scientific(Shenzhen) Co., Ltd.

    アクター種別: 企業

    企業の本社所在国または地域

    • 中国深圳市

    従業員数

    • 不明。

    資本金

    • 登録資本金:14憶300万人民元(約306億円)
    • 払込資本金:5億300万人民元(約109億円)

    セキュリティに関する活動

    • 不明。
    • 企業ではなく、Coolpad S6という製品に対して、获中国信息安全认证中心(中国情報セキュリティ認証センター)から認証を受けている。

    他アクターとの関係

    • 親会社:Coolpad Group Limited
    • ライセンス関係:不明。Micromax社やYu Digital社にライセンスを付与している可能性はあるが、不明。

製品情報に関する説明

  • Coolpad
    バージョン:
    • Dazen F2 8675を始めとした以下の24種類のモデル
    • Dazen F2 8675
    • Dazen F2 8675-W00
    • Dazen 1S 9976A
    • Dazen 1S 9976T
    • Dazen F1 8297-C00
    • Dazen F1 8297
    • Dazen F1 8297W
    • Dazen Note 8670
    • Coolpad 5950
    • Coolpad 5950A
    • Coolpad 5951
    • Coolpad 7295A
    • Coolpad 7295C
    • Coolpad 7296
    • Coolpad 7298A
    • Coolpad 7298D
    • Coolpad 7620L
    • Coolpad 8079
    • Coolpad 8089
    • Coolpad 8190
    • Coolpad 8295
    • Coolpad 8705
    • Coolpad 8720L
    • Coolpad 8730L
    • CoolReaperファイルのバージョンは、V2.11.01.2013101120_VER_2013.10.12_19:51:14を始めとした12バージョン
    • V2.11.01.2013101120_VER_2013.10.12_19:51:14
    • V2.11.02.2013101122_VER_2013.10.12_20:45:09
    • V2.13.01.2013102521_VER_2013.10.25_21:55:37
    • V2.13.01.2013102521_VER_2013.10.29_20:08:29
    • V2.17.01.2013112015_VER_2013.11.23_13:12:49
    • V2.19.01.2013121921_VER_2013.12.20_14:00:37
    • V2.23.01.2014011320_VER_2014.01.13_23:39:57
    • V2.28.01.2014040220_VER_2014.04.02_19:28:28
    • V3.03.01.2014062321_VER_2014.06.24_09:30:13
    • V3.04.01.2014072115_VER_2014.07.25_09:45:43
    • V3.06.01.2014101611_VER_2014.10.16_15:38:38
    • V3.07.01.2014102915_VER_2014.10.29_14:52:04

製品情報

  • Coolpad
    製品種別: プロプライエタリソフトウェア

    概要

    • Androidスマートフォンであり、そのユースケースは、音声通話、メッセージ通信、ウェブ閲覧、各種モバイルアプリ利用等。

    対応プラットフォーム(OS)

    • Android

    製品の主な利用者(所在地)

    • 中国
    • 2012年以来、Coolpadは中国で第三位のスマートフォンメーカー。
    • 2014年第二四半期の市場シェアは11.5%。これはLenovoとXiaomiに次ぐ順位。
    • 2014年上半期、Coolpadは中国の4G携帯電話市場で15.78%のシェアを持ち、第一位となった。

    製品の主な利用者(業界)

    • 主に中国において、一般ユーザー向けに販売されている。

タイムライン

イベント日時 イベントタイプ イベント説明
2013/10/01 発覚 Coolpadのフォーラムにおいて、以下の報告が中国のCoolpadユーザーによってなされた。 - デバイスが自動更新される - デバイスが頻繁に広告を通知としてプッシュする - デバイスが複数のゲームを無断でインストールする - デバイスがOTA更新通知を表示する;再起動後、システムは更新されておらず、約11個の新しいアプリケーションがインストールされていた しかし、Coolpadはこれらの報告を無視した。
2014/10/23 関係者への共有 ユーザーがCoolpadのフォーラムで再び問題を報告したが、Coolpadはこの報告を削除した。
2014/11/19 公式のアナウンス Wooyun(中国の脆弱性共有プラットフォーム)経由でバックドアの存在を指摘したところ、Yulong社はその存在を認め、「情報提供ありがとうございます。早急に修正します。ありがとう。」と回答した。 ※なお、2025年12月時点では、公開情報から当該不正機能が修正された旨の情報は確認されていない