我々は中国の領域の加入者を対象とする、いくつかのAndroidリスクウェアアプリケーションに遭遇した。

  これら疑わしいアプリケーションは、星占い、農場、ペットゲーム/情報および太陰太陽暦などを含む、さまざまなトピックをカバーしている。以下は、これらアプリケーションの一つが要求するパーミッションのスクリーンショットだ:

Riskware:Android/MobileTX.A Permissions

  しかし、アプリケーションの中には、自称している通りの物のようにはとても見えず、結局クラッシュしてしまう(おそらくプログラミングの不備)物もある:

Riskware:Android/MobileTX.A, Force close

  しかし、クラッシュする前に(そしてたいていの場合実行の直後に)、アプリケーションは携帯電話の移動加入者識別番号(IMSI)を取得し、リモートサイトに接続しようとする:

  •  http://mobile.tx.com.cn:[...]/client.[...].do
  •  http://mobile.tx.com.cn:[...]/client/[...].do

  アプリケーションは電話のIMSIが既に存在するかどうかをチェックする(執筆時には、同リモートサイトはまだアクセス可能だった)。

  リモートサイトにアクセスできなければ、あるいはサイトが何らかの理由でエラーレスポンスを返すと、アプリケーションはSMSメッセージを送信し続ける。

  SMS送信コンポーネントはまず、その電話の加入者IDを確定し、次に獲得した情報に従い、メッセージを送信する別の受信者ナンバーを選択する。

  SMSの本文には、以下のフォーマットが含まれる:

  •  99# [ IMSI ]#android#[ app_specific_string ]

  今のところ、我々は同アプリケーションの挙動が意味するところについて調査している段階だ。これはサービスに対する不正なSMS登録の新たな事例かもしれないし、そうではないかもしれないからだ。とは言え、アプリケーションがユーザの気づかぬところで、電話のIMSI IDでSMSを自動的に送信するという事実は、あまり望ましいものではない。

  これは料金が発生する可能性ばかりか、電話の番号を識別されてしまうことを意味している(相手方がメッセージを受けとった場合)。

  我々はこれらのアプリケーションを「Riskware:Android/MobileTX.A」として検出している。

Threat Solutions post by — Jessie, Irene and Yeh