Android端末をルート化する不正アプリ、Google Playで確認--トレンドマイクロ

  • このエントリーをはてなブックマークに追加

 トレンドマイクロは10月7日、Android端末をルート化する不正アプリ2種を「Google Play」で確認したと公式ブログで発表した。「Brain Test」や「RetroTetris」という名前に心当たりがあるユーザーに、今すぐに端末を確認するよう呼びかけている。

 RetroTetrisはAndroidのバージョン2.3(Gingrebread)以降、Brain Testはバージョン2.2(Froyo)以降でインストール可能。なお、Brain Testは9月24日以降はGoogle Playから削除されており、RetroTetrisについては、Google Playのセキュリティチームに報告済みで、現在回答を待っているという。

 RetroTetrisは、8月21日にGoogle Playで初めて公開されたパズルゲーム「テトリス」を装った不正アプリ。同社では、この不正アプリによって中国を中心に500~1000台のAndroid端末が影響を受けたと推測している。また同アプリは、少なくとも「Appszoom」「WanDouJia」「YingYongBao」「360Market」などの、サードパーティのアプリストアでも確認されているそうだ。

 RetroTetrisは、ソフトウェア開発キット(Software Develoment Kit、SDK)の1種である「RootGenius」の関数「startRootRunScript」を利用。このSDKによって、RetroTetrisは、Androidのバージョンやその他の情報をもとに、インターネットから感染端末をルート化するためのエクスプロイトコードをダウンロードするという。


不正アプリ「RetroTetris」

 同社が調査を進めたところ、RetroTetrisに関連するウェブサイト「shuame[dot]com」が確認され、同サイトからAndroid端末をルート化するための2つのツールが確認できた。そのうち1つのツールのコードは、アプリのコードと類似しており、同社では、このウェブサイトを運営する集団もしくは個人と、RetroTetrisの作成者の間には関係があると考えているという。


インターネットから不正アプリをインストールするための不正なコード

「RetroTetris」のコードと類似点の多いツールのコード

 Brain Testは、知能テストのゲームアプリを装った不正アプリ。8月8日に「com.mile.brain」というアプリ名でGoogle Playに公開され、その後、Qihoo Androidパッカーで圧縮したバージョンに更新された。Brain Testは、端末に侵入すると別の不正アプリをダウンロードしてインストールし、端末をルート化して、不正なコードを実行できるようにする。


Android端末上の不正アプリ「Brain Test」のアイコン
 

 Googleは、8月26日にこのアプリの最初のバージョンをGoogle Playから削除したが、アプリ作成者は9月10日に「com.zmhitlte.brain」というパッケージ名で再度公開。この時はBaiduの保護パッカーが利用されたという。Googleは、6日後の9月16日に同不正アプリを確認して再削除するが、作成者は、アプリ名「Brain Test HD」、パッケージ名「com.fjsc.brainhd」に変更して再び公開。9月24日にはこのバージョンもGoogle Playから削除されている。

 同社によると、9月11~25日までの感染件数は1万件を超えたという。主にインド、フィリピン、インドネシア、ロシア、台湾で感染が確認されている。また、Brain Testは、ウェブサイト「s[dot]psserviceonline[dot]com」と通信し、不正活動を実行する。調査を進めたところ、このウェブサイトと通信する385の不正アプリが確認できたという。ただし、それらの不正アプリは、Google Playでは確認できなかったとのことだ。

  • このエントリーをはてなブックマークに追加