トレンドマイクロは6日、中国の検索エンジン「百度」(Baidu)のソフトウェア開発キット(SDK)「Moplus」に、バックドア機能が備わっていることを発表した。このバックドア機能により、ユーザー権限の必要なく、感染した端末をフィッシングサイトへ誘導したり、連絡先を追加したりすることが可能となっており、同社はMoplus SDKを利用した不正プログラムをすでに確認しているとして、警鐘を鳴らしている。
バックドアとは、正規ユーザーに気づかれないよう、認証やセキュリティ対策などを回避し、外部からの不正操作を可能にする、ソフト上の入り口のこと。
Baiduが開発したSDK「Moplus」には、「Wormhole」と呼ばれる脆弱性が確認されていたが、トレンドマイクロがこの脆弱性について調査したところ、脆弱性に拠らないバックドア機能が実装されていることが判明したという。バックドア機能は、感染端末をインターネットに接続するだけで悪用でき、Moplus SDKおよびMoplus SDKを使い開発されたサービスでは、「フィッシングサイトへの誘導」「任意の連絡先の追加」「偽のショート・メッセージ・サービス(SMS)送信」「リモートサーバへのローカルファイルのアップロード」「アプリを不正にインストール」といった行為が可能となる恐れがある。
Moplus SDKは、Androidファイルアプリの情報を記したマニュフェストファイルから、独立したプロセスでインストールされる。ユーザーがアプリを起動すると、Moplus SDKは自動的に端末ローカルのHTTPサーバを裏側で設定。HTTPサーバは、他の端末から送信されたメッセージを解析し、新しいリクエストがあれば不正タスクを実行する。攻撃者は、遠隔操作で、端末の位置情報や検索ボックスの情報、連絡先の追加やダウンロードファイルの検索、特定のファイルのアップロードといった操作が行える。
同社調査によると、Moplus SDKが組み込まれたアプリは、バージョン違いなどを含め14,112が存在するという。このうち4,014がBaidu公式アプリとなる。
トレンドマイクロは、不正動作が削除されたアップグレード版がない限りは、感染したアプリケーションをアンインストールすることを推奨している。
一方Baiduはバックドア機能を「脆弱性」としており、2015年10月30日からこの脆弱性に対処。今後、感染したアプリの次期版の提供と合わせ、問題のデッドコードを削除する予定という。また、Baidu日本法人は9日、日本語文字入力&顔文字キーボード「Simeji」については、同SDKが使用されていないと発表している。