リセットしても残るマルウェアが再びGoogle Playに、現在は削除 - Lookout

 

米Lookoutは1月12日、沈静化していたマルウェアファミリー「Brain Test」をGoogle Play上で発見したと発表した。

Brain Testは、Android端末を狙ったマルウェアで、端末のルート化権限を取得し、遠隔操作などが可能になる。いったんルート化してしまうと、ユーザーが端末を工場出荷状態に戻しても削除されずに残る。

Brain Testを含むアプリは、ユーザーレビューで高評価を受けており、ダウンロードも数十万件と多い。アプリは、ユーザーが意図せず、勝手に高評価のレビューを残す仕様になっている。

今回Lookoutは、13種類の不正なアプリをGoogle Playに公開されているアプリで発見し、Googleへ報告。ストア上での公開が中止されている。

Brain Testが含まれていたアプリの一部

万が一感染した場合は、端末内の保存したいデータをすべてバックアップした上で、端末メーカーが提供するROMをリフラッシュする(書き込む)こと。標準ROMの正しいフラッシュ方法については各端末メーカーから確認する必要がある。

感染した場合、Brain Testは端末内で以下の様な挙動をとる。

まず、ウォッチドッグを実行可能な状態にし、アプリケーションのアンインストール時にはコマンド&コントロールサーバーへ通知する。

「assets/res/drawable/pw.png」にあるアセットを解読し、ランダム生成したファイル名を付けて「/data/data/com.beautiful.caketower/app_cache」にコピーする。この解読済みアセットは悪意ある APK ファイル(パッケージ名「com.qualconm.power」、SHA1:f52bc39bda66d347cc108f15e7efee52f7e7a112)で端末内の生存に使用される。

その後、「/data/data/com.beautiful.caketower/app_cache」に短いシェルスクリプトを書き、ルート化端末の場合はこのシェルスクリプトを実行し、始めに設置した生存APKを端末の「/system/priv-app」ディレクトリにコピーすることで、製品出荷時へのリセット後も、端末内に残り続ける。

初期段階における一連の動作が終了すると、複数のバックグラウンドサービスが継続的にコマンド&コントロールサーバーへチェックインする。現在のバージョンもコマンド&コントロールサーバーから新たにコンフィギュレーションパラメータをダウンロードできるほか、任意のコマンドをルート化コマンドとして実行、あるいは新たなJavaコードを読み込んで即時実行する能力を持つ。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

知事が妊婦になり実感「堪らんなこれは!」--脱"日本一家事育児に参加しない"
[07:00 10/2] ライフスタイル
“大食い女王”もえあず、ジャイアント白田も驚く食べっぷり!驚異の新人も登場
[05:00 10/2] エンタメ
後藤真希、本格声優に初挑戦! アニメ版『モンハン』にゲスト出演決定
[05:00 10/2] ホビー
米国発3DCGアニメ『RWBY VOLUME2』、初日舞台挨拶に早見・日笠・嶋村が登壇
[03:04 10/2] ホビー
『ろんぐらいだぁす!』、先行試写会開催! キャストが語る注目ポイントは?
[02:47 10/2] ホビー

求人情報