先日の記事にも取り上げられていますDroidDream(Rootcager)についてです。
記事にもあります通り、「
rageagainstthecage」を利用しroot権限を奪取します。
その後にパッケージなどをダウンロードしたりします。詳細はこちら。
参考URL: 新たな Android の脅威による端末の root 権限の取得

Android Marketでマルウェア入りアプリケーションが配布されたことも驚きですが、マルウェアによるroot権限の奪取は、「ついに来たか!」といった印象を持ちました。
$ pwd
$ SuperSolo/assets
$ ls -l
total 184
-rw-r--r--  1 analysis  staff  15360  3  4 09:55 GuitarData
-rw-r--r--  1 analysis  staff    347  3  4 09:55 Hallelujah
-rw-r--r--  1 analysis  staff    335  3  4 09:55 Hotel California
-rw-r--r--  1 analysis  staff    346  3  4 09:55 House Of The Rising Sun
-rw-r--r--  1 analysis  staff    331  3  4 09:55 Majors
-rw-r--r--  1 analysis  staff    338  3  4 09:55 Minors
-rw-r--r--  1 analysis  staff    590  3  4 09:55 behold.ivt
-rw-r--r--  1 analysis  staff  15295  3  4 09:55 exploid
-rw-r--r--  1 analysis  staff    566  3  4 09:55 galaxy.ivt
-rw-r--r--  1 analysis  staff    470  3  4 09:55 piezoerm.ivt
-rw-r--r--  1 analysis  staff   3868  3  4 09:55 profile
-rw-r--r--  1 analysis  staff   5392  3  4 09:55 rageagainstthecage ←これ!
-rw-r--r--  1 analysis  staff  14075  3  4 09:55 sqlite.db
$
Androidの場合、アプリケーションは、Linuxでいうところの一般ユーザ権限で動作しています。これは外部から持ち込まれたマルウェアにおいても同様です。そのため、仮にマルウェア付きアプリケーションをインストールしてしまった場合においても、端末に与える被害範囲は想像がつき易いです。しかし、root権限が奪取されますと、マルウェアはこの制限が無くなり、(現状では)厄介なことなります。

例えば、マルウェアがシステム領域に設置されたとしたらどうでしょうか。
この場合、一般のアンチウイルス・アプリでは駆除できなくなります。なぜなら、アンチウイルス・アプリも普通のアプリケーションと同様の権限しか持っていないためです。
(私の手元にあるアプリでは削除出来ていません。)
次にデータ初期化を試みることを思いつくのではないでしょうか。
しかし、残念ながらAndroidのデータ初期化はデータ領域のみであるため、システム領域内のマルウェアは削除されません。
結局、SDKを用いて、削除することになります。(root化が必要になります)

droiddream1

root権限の奪取による攻撃者側のメリットとAndroidの仕様を考えますと、root権限を奪取するマルウェアは今後のトレンドとなりそうです。Android端末による本格的なボットネットの構築は来年かな、と思ってましたが、意外に近い未来かもしれません。