Vyatta 自作ルーターのリアルタイムアクセス状況画面を見ていたら、自宅ネットから外部への怪しいアクセスを見つけました。Webプロキシーログを確認してみると、ネットワークの内側から、外側に対して POST アクセスが発生しています。POST ということは情報を送っているということです。
さらに、アクセスしている URL が怪しい!「FileUpload」なんて単語が含まれています。
1486053315.683 11242 192.168.1.21 TCP_MISS/200 375 POST http://folder.skybluead.com/appStore/queryShortcutInfoASIF.do - DIRECT/118.193.187.35 text/html 1486053316.773 12330 192.168.1.21 TCP_MISS/403 428 POST http://folder.advmob.cn/appStore/homeShortcutASIF.do - DIRECT/221.228.214.69 text/html 1486053317.053 199 192.168.1.21 TCP_MISS/403 428 POST http://folder.advmob.cn/appStore/homeShortcutASIF.do - DIRECT/221.228.214.69 text/html 1486053317.253 178 192.168.1.21 TCP_MISS/403 428 POST http://folder.advmob.cn/appStore/homeShortcutASIF.do - DIRECT/221.228.214.69 text/html 1486053322.673 5041 192.168.1.21 TCP_MISS/200 375 POST http://folder.adsunflower.com/appStore/appCountFileUploadASIF.do - DIRECT/221.228.214.69 text/html 1486053324.803 7886 192.168.1.21 TCP_MISS/200 375 POST http://folder.camel360.com/appStore/appCountFileUploadASIF.do - DIRECT/118.193.187.35 text/html
確認できた6行のうち3行は 200 となっていて情報が出ていったようです。残りに3行は 403 でエラーとなっていています。これらのアドレスを検証してみると、
folder.skybluead.com: 118.193.187.35: 中国
folder.advmob.cn: 221.228.214.69: 中国
folder.adsunflower.com: 221.228.214.69: 中国
folder.camel360.com: 118.193.187.35: 中国
異なる名前の同じホストだとわかります。
問題は、.cn サイトへ勝手に POST アクセスした私の端末は何か?ってこと。
残念ながら、アクセスポイントのアドレスしか残っていないため、どの端末からデータが出ていったのかは正確にはわかりません。ただし、Android 用のアクセスポイントとして使っていて、接続されているのは Amazon Fire と Freetel Priori3 だけ。Amazon Fire はタブレット・TV と複数台あり、Fire OSがアクセスしているのであれば、複数の時間帯にアクセスが出ているはず。昨日、一昨日のログには記録されていません。
私の印象では、怪しいのは Priori3 の方だと考えています。さて、この先どうしたものか。
arp AS01Mという中華スマホもfolder.skybluead.comに接続してルータの「AiProtection – 悪質サイトブロック」機能にDisease Vectorとして遮断されていました。
やっぱり激安スマホはスパイウェア仕込んであるんでしょうね…