Android端末をルート化する不正アプリ、Google Playで確認--トレンドマイクロ

　トレンドマイクロは10月7日、Android端末をルート化する不正アプリ2種を「Google Play」で確認したと公式ブログで発表した。「Brain Test」や「RetroTetris」という名前に心当たりがあるユーザーに、今すぐに端末を確認するよう呼びかけている。

　RetroTetrisはAndroidのバージョン2.3（Gingrebread）以降、Brain Testはバージョン2.2（Froyo）以降でインストール可能。なお、Brain Testは9月24日以降はGoogle Playから削除されており、RetroTetrisについては、Google Playのセキュリティチームに報告済みで、現在回答を待っているという。

　RetroTetrisは、8月21日にGoogle Playで初めて公開されたパズルゲーム「テトリス」を装った不正アプリ。同社では、この不正アプリによって中国を中心に500～1000台のAndroid端末が影響を受けたと推測している。また同アプリは、少なくとも「Appszoom」「WanDouJia」「YingYongBao」「360Market」などの、サードパーティのアプリストアでも確認されているそうだ。

　RetroTetrisは、ソフトウェア開発キット（Software Develoment Kit、SDK）の1種である「RootGenius」の関数「startRootRunScript」を利用。このSDKによって、RetroTetrisは、Androidのバージョンやその他の情報をもとに、インターネットから感染端末をルート化するためのエクスプロイトコードをダウンロードするという。

不正アプリ「RetroTetris」

　同社が調査を進めたところ、RetroTetrisに関連するウェブサイト「shuame[dot]com」が確認され、同サイトからAndroid端末をルート化するための2つのツールが確認できた。そのうち1つのツールのコードは、アプリのコードと類似しており、同社では、このウェブサイトを運営する集団もしくは個人と、RetroTetrisの作成者の間には関係があると考えているという。

インターネットから不正アプリをインストールするための不正なコード

「RetroTetris」のコードと類似点の多いツールのコード

　Brain Testは、知能テストのゲームアプリを装った不正アプリ。8月8日に「com.mile.brain」というアプリ名でGoogle Playに公開され、その後、Qihoo Androidパッカーで圧縮したバージョンに更新された。Brain Testは、端末に侵入すると別の不正アプリをダウンロードしてインストールし、端末をルート化して、不正なコードを実行できるようにする。

Android端末上の不正アプリ「Brain Test」のアイコン

　Googleは、8月26日にこのアプリの最初のバージョンをGoogle Playから削除したが、アプリ作成者は9月10日に「com.zmhitlte.brain」というパッケージ名で再度公開。この時はBaiduの保護パッカーが利用されたという。Googleは、6日後の9月16日に同不正アプリを確認して再削除するが、作成者は、アプリ名「Brain Test HD」、パッケージ名「com.fjsc.brainhd」に変更して再び公開。9月24日にはこのバージョンもGoogle Playから削除されている。

　同社によると、9月11～25日までの感染件数は1万件を超えたという。主にインド、フィリピン、インドネシア、ロシア、台湾で感染が確認されている。また、Brain Testは、ウェブサイト「s[dot]psserviceonline[dot]com」と通信し、不正活動を実行する。調査を進めたところ、このウェブサイトと通信する385の不正アプリが確認できたという。ただし、それらの不正アプリは、Google Playでは確認できなかったとのことだ。