米Lookoutは12月4日(現地時間)、出荷時にシステムフォルダー内にマルウェアが混入されているスマートフォンを発見したことをブログで発表した。
Lookoutは、このマルウェアをDeathRingと命名。DeathRingは、中国で作られたトロイの木馬で、ベトナム、インドネシア、インド、ナイジェリア、台湾、中国で被害が確認されている。
感染したスマートフォンは、所有者の個人情報を勝手に外部に送信してしまう。さらに、利用者にアプリをダウンロードするように促してくるため、誤って新たなマルウェアをダウンロードしてしまう恐れがあるとしている。
混入されたマルウェアは最初動作していないが、起動する条件が2つある。1つ目はスマートフォンを5回再起動したとき、2つ目は、端末のスリープと復帰を50回繰り返したときだという。
現在のところ、サプライチェーンのどの段階でマルウェアが混入したのかは特定できていない。感染していた端末のほとんどが新興国にスマートフォンを販売しているティア3メーカーだという。
感染が確認された機種は以下の通り。
偽造Samsung GS4/Note II
多種の TECNO デバイス
Gionee Gpad G1
Gionee GN708W
Gionee GN800
Polytron Rocket S2350
Hi-Tech Amaze Tab
Karbonn TA-FONE A34/A37
Jiayu G4S - Galaxy S4 Clone
Haier H7
メーカー不詳Samsung i9502+のコピー製品
Lookoutは、以前にも出荷時に仕込まれていた別のマルウェアを検知している。マルウェアはMouaBadという名前で、DeathRingと同じように、サプライチェーンのどこかの段階で仕込まれていた。
検出されたのはアジア諸国がほとんどで、そのほかにスペインでも何件か検出されたという。
なお、スマートフォンのシステムフォルダに最初から保存されてるマルウェアは原則、セキュリティソフトで駆除することができない。マルウェアからの脅威を防ぐには、購入する端末の出自を注意することが重要だとしている。