トレンドマイクロは20日、Android端末を狙う不正プログラム3個を分析した結果を公表した。この不正プログラムは、正規の天気予報ツール「GoWeather」をトロイの木馬化したアプリで、7月初旬より流行の兆しを見せている。 これらの不正プログラムは、トレンドマイクロ製品で「ANDROIDOS_TROJMMARKETPLAY」として検出される。ベータ版ビルドと考えられる「ANDROIDOS_TROJMMARKETPLAY.B」は、インストールされると、携帯電話のデータ通信で必要となる接続先を指定する文字列「アクセス・ポイント・ネーム(APN)」を「CMWAP」に変更する。この変更により、携帯端末は、自動的に非公式のアプリ配信ストア「M-Market」に自動的にログインし、有料のアプリやメディアファイルを検索・ダウンロードするという仕組みだ。 トレンドマイクロは、解析を通して、テスト用コードや「ANDROIDOS_TROJMMARKETPLAY.B」を操作するサイバー犯罪者についての情報を確認したことから、「ANDROIDOS_TROJMMARKETPLAY.B」は、ベータ版ビルドであると推定したという。同社が把握した情報には、テキストメッセージの送信機能を含むテスト用コード、プライベートのIPアドレス、さらに電話番号が含まれていた。「●●●●23046」「●●●●56246」「●●●●30884」といった電話番号だが、これらは、中国の広東省広州に関連するものだった。 なお、この不正プログラムに関連するサイバー犯罪者たちがここを拠点としていたかの十分な証明はできていないとのこと。ただし、そのうちの1つ、「●●●●56246」は、いまだサイバー犯罪者によってテキストメッセージの送信や初期化のために利用されている また、「yunkong」という言葉がコード内に頻繁に使われていることも確認されている。この言葉は、これら不正プログラムに関連する“特定の人物”または“組織の名前”を示していると推測されている。
バックドア付きSDK「Moplus」、日本語アプリ「Simeji」では不使用
