米Lookoutは1月12日、沈静化していたマルウェアファミリー「Brain Test」をGoogle Play上で発見したと発表した。
Brain Testは、Android端末を狙ったマルウェアで、端末のルート化権限を取得し、遠隔操作などが可能になる。いったんルート化してしまうと、ユーザーが端末を工場出荷状態に戻しても削除されずに残る。
Brain Testを含むアプリは、ユーザーレビューで高評価を受けており、ダウンロードも数十万件と多い。アプリは、ユーザーが意図せず、勝手に高評価のレビューを残す仕様になっている。
今回Lookoutは、13種類の不正なアプリをGoogle Playに公開されているアプリで発見し、Googleへ報告。ストア上での公開が中止されている。
|
Brain Testが含まれていたアプリの一部 |
万が一感染した場合は、端末内の保存したいデータをすべてバックアップした上で、端末メーカーが提供するROMをリフラッシュする(書き込む)こと。標準ROMの正しいフラッシュ方法については各端末メーカーから確認する必要がある。
感染した場合、Brain Testは端末内で以下の様な挙動をとる。
まず、ウォッチドッグを実行可能な状態にし、アプリケーションのアンインストール時にはコマンド&コントロールサーバーへ通知する。
|
「assets/res/drawable/pw.png」にあるアセットを解読し、ランダム生成したファイル名を付けて「/data/data/com.beautiful.caketower/app_cache」にコピーする。この解読済みアセットは悪意ある APK ファイル(パッケージ名「com.qualconm.power」、SHA1:f52bc39bda66d347cc108f15e7efee52f7e7a112)で端末内の生存に使用される。
|
その後、「/data/data/com.beautiful.caketower/app_cache」に短いシェルスクリプトを書き、ルート化端末の場合はこのシェルスクリプトを実行し、始めに設置した生存APKを端末の「/system/priv-app」ディレクトリにコピーすることで、製品出荷時へのリセット後も、端末内に残り続ける。
|
初期段階における一連の動作が終了すると、複数のバックグラウンドサービスが継続的にコマンド&コントロールサーバーへチェックインする。現在のバージョンもコマンド&コントロールサーバーから新たにコンフィギュレーションパラメータをダウンロードできるほか、任意のコマンドをルート化コマンドとして実行、あるいは新たなJavaコードを読み込んで即時実行する能力を持つ。
