百度のSDKにバックドア、Androidユーザー1億人に影響か - Simejiは対象外

HTTPサーバは TCPポートを待機し続け、他の端末から送信されたメッセージを受信し解析する。新しい HTTP要求があれば、そのメッセージのヘッダと本文を受信して解析し、NanoHttpdドキュメントで指定された関数「server」を上書きして、自身のタスクを呼び出す。

これは典型的なコマンド&コントロール(C&C)攻撃モデルで、従来型のC&C攻撃と異なる点は、サーバーがユーザー側にあり、攻撃するクライアントはどこにでも存在し得ることだという。ファイルのダウンロードやアップロードなど、SDKに関連した不正な機能があるが、それぞれが1つのクラスファイルとして機能している。

マップのアプリの場合、攻撃者は遠隔から位置情報や検索ボックス情報、パッケージ情報、その他の個人情報をユーザの端末から収集できる。遠隔からユーザの端末に連絡先を追加したり、ダウンロードされたファイルを検索したり、特定のファイルをアップロードしたりすることも可能で、こうした不正活動は HTTPリクエストを送信するだけで、どこからでも簡単に実行できる。

また、「sendintent」と呼ばれる特別なコマンドを利用して、端末上にローカルのインテントを送信できる。