Android: 中国サイトへの怪しいPOSTアクセス

Vyatta 自作ルーターのリアルタイムアクセス状況画面を見ていたら、自宅ネットから外部への怪しいアクセスを見つけました。Webプロキシーログを確認してみると、ネットワークの内側から、外側に対して POST アクセスが発生しています。POST ということは情報を送っているということです。

さらに、アクセスしている URL が怪しい!「FileUpload」なんて単語が含まれています。

1486053315.683  11242 192.168.1.21 TCP_MISS/200 375 POST http://folder.skybluead.com/appStore/queryShortcutInfoASIF.do - DIRECT/118.193.187.35 text/html
1486053316.773  12330 192.168.1.21 TCP_MISS/403 428 POST http://folder.advmob.cn/appStore/homeShortcutASIF.do - DIRECT/221.228.214.69 text/html
1486053317.053    199 192.168.1.21 TCP_MISS/403 428 POST http://folder.advmob.cn/appStore/homeShortcutASIF.do - DIRECT/221.228.214.69 text/html
1486053317.253    178 192.168.1.21 TCP_MISS/403 428 POST http://folder.advmob.cn/appStore/homeShortcutASIF.do - DIRECT/221.228.214.69 text/html
1486053322.673   5041 192.168.1.21 TCP_MISS/200 375 POST http://folder.adsunflower.com/appStore/appCountFileUploadASIF.do - DIRECT/221.228.214.69 text/html
1486053324.803   7886 192.168.1.21 TCP_MISS/200 375 POST http://folder.camel360.com/appStore/appCountFileUploadASIF.do - DIRECT/118.193.187.35 text/html

確認できた6行のうち3行は 200 となっていて情報が出ていったようです。残りに3行は 403 でエラーとなっていています。これらのアドレスを検証してみると、

folder.skybluead.com: 118.193.187.35: 中国
folder.advmob.cn:           221.228.214.69: 中国
folder.adsunflower.com: 221.228.214.69: 中国
folder.camel360.com: 118.193.187.35: 中国

異なる名前の同じホストだとわかります。

問題は、.cn サイトへ勝手に POST アクセスした私の端末は何か?ってこと。
残念ながら、アクセスポイントのアドレスしか残っていないため、どの端末からデータが出ていったのかは正確にはわかりません。ただし、Android 用のアクセスポイントとして使っていて、接続されているのは Amazon Fire と Freetel Priori3 だけ。Amazon Fire はタブレット・TV と複数台あり、Fire OSがアクセスしているのであれば、複数の時間帯にアクセスが出ているはず。昨日、一昨日のログには記録されていません。
私の印象では、怪しいのは Priori3 の方だと考えています。さて、この先どうしたものか。

Comments

  1. arp AS01Mという中華スマホもfolder.skybluead.comに接続してルータの「AiProtection – 悪質サイトブロック」機能にDisease Vectorとして遮断されていました。
    やっぱり激安スマホはスパイウェア仕込んであるんでしょうね…

コメントを残す