【注意】GIGAZINEおすすめAndroidアプリ、中国製で定期通信を行うことが判明(マルウェアの可能性も)

【悲報】8月に広告が問題になった百度のSimejiアプリにMoPlusと同じ脆弱性がある事が発覚(現在は修正済み)
Android製中国アプリが問題になった先日の記事の騒動もまだ、冷めぬうちですが…

Doze - For Better Battery Life - Google Play の Android アプリ
https://play.google.com/store/apps/details?id=com.yirgalab.dzzz

Android 4.1以降でも6.0のバッテリー省電力機能「Doze」の効果が得られるアプリ「Doze」を使ってみた - GIGAZINE

Android 6.0
Marshmallowにはスリープ中のデータ通信を制限することでバッテリー消費を極限まで抑えるより深いスリープ機能「Doze」が搭載されていま
す。このDoze類似の省電力機能がAndroid 4.1以降のAndroid OSでも使えるアプリ「Doze」がリリースされたので、さっそく使ってみました。

なお、Google Playのアプリ説明には、「2. Doze supports Android 4.1 or above. In the
long run it will support more Android versions.Power-saving mode is
available in Android 5 only. 」とあり、アプリはAndroid
4.1以上に対応しているものの、記事作成時点ではPower-saving modeはAndroid 5のみとのこと。そこで、Android
5.0のGalaxy S6 edgeで試してみましたが、やはり1時間の放置では有意な差は見られませんでした。

あんまり効果は見られなかったとのことなのですが…ちょっと気になったコメントがあったので注目してみました

一晩でbaiduのサーバに20回以上アクセスしてやがった。即削除٩(๑oωo๑)۶Android 4.1以降でも6.0のバッテリー省電力機能「Doze」の効果が得られるアプリ「Doze」を使ってみた - GIGAZINE http://gigazine.net/news/20151116-doze-review/

2015/11/18 15:31:55

というわけで解析してみた

20:40追記  長いので、あらすじだけ紹介

・実は、アプリは中国のTencent製(QQで有名)
・中国にVPN接続を張って、低速通信させることによってバッテリ節約してるようだ。
(ただし、4年前流行ったマルウェアと挙動が似てる)
・定期的に中国TENCENT社のサーバーに解析結果を送信している。


ファイル構成は

android\support\v4/v7
com\dr\swig
com\tencent
com\yirgalab
org\apache\http

通信モジュールも気になりますが… tencent は メッセンジャー QQ で有名な中国の会社

    public void onCreate()
    {
        super.onCreate();
        d = getApplicationContext();
        com.yirgalab.dzzz.setting.c.a(getApplicationContext());
        d();
        a = com.yirgalab.dzzz.main.af.a(getApplicationContext());
        e.a().a(getApplicationContext(), 5);
        if(!com.yirgalab.dzzz.main.u.a(this, "install"))
        {
            com.yirgalab.dzzz.main.u.a(this, "install", true);
            h.a("Dzzz_AppInstall");
        }
        com.tencent.feedback.a.c.a(this);
        if("com.yirgalab.dzzz".equalsIgnoreCase(com.yirgalab.dzzz.main.t.b(this)))
            (new com.yirgalab.dzzz.main.c(this)).execute(new Void[0]);
    }

なぜか、 tencent にフィードバックを送るようになっています。
Googleで yirgalab という企業を探しても見つからないことから、 tencent が 国名を隠すために作ったダミー企業ではないかと思われるのですが…。

テンセントQQ日本版 公式サイト

   private g()
    {
        b = "http://strategy.beacon.qq.com/analytics/upload?mType=beacon";
        c = 360;
        d = null;
        e = null;
        f = 1;
        g = 1;
        h = "*^@K#K@!";
        d = new SparseArray(3);
        d.put(1, new h(1));
        d.put(2, new h(2));
        d.put(3, new h(3));
    }

どうも、定期的に解析結果を 中国 QQ.com に送信するようですね

        if(s3.contains("uniwap"))
        {
            com.tencent.a.d.a.a(" search uniwap", new Object[0]);
            b1.a = "10.0.0.172";
            b1.b = 80;
        }

        com.tencent.a.d.a.a(" search cmwap", new Object[0]);
        b1.a = "10.0.0.172";
        b1.b = 80;
          goto _L9
        exception;

気になるのは uniwap とか、cmwap のProxy生成してるところ…。あれこれどっかで見たような

Android.Bgserv | シマンテック 日本

この脅威は、アクセスポート名 (APN) を次の WAP ネットワークに変更する可能性があります。
名前: cmwap
APN: cmwap
プロキシ: 10.0.0.172
ポート: 80
MCC: 460
MNC: 02
タイプ: デフォルト
MMSC: http://mmsc.monternet.com
番号: [既存の SIM オペレータ番号]

あのさ…これ、ウィルスマルウェア じゃね?

ざっと見ただけなので、はっきりしたことは言えないんだけど、特定のネットワークを使うと、回線を切り替えて課金するようなウィルスの処理と同じようにも見えます。

悪いこと言わないので消した方がいいと思います・ω・

一応、すぐGIGAZINEさん には連絡しておいた

あんまり、よく分かんない開発元のアプリは紹介しない方がいいと思うんだ。

du2
なんで、ただの省電力アプリがVPN使うの不思議に思わないんだよw

Android 6.0 Marshmallowのバッテリーを長持ちさせる機能「Dozeモード」の使い方。Dozeモードはデフォルトで有効化されており無効化したいアプリを無視リストに追加していく方式。

多分、Dozeって言葉だけパクって作ったんじゃないかなぁ?

追記 17:40
Google さんにも連絡した。

このアプリの開発研究所とされる、 YirgaLab, New York, NY 10017 ですが…。
ニューヨーク 東ミッドタウン 第5アベニューですね。架空なのかも・ω・

追記 18:30

Android 6.0 Marshmallowの節電機能を模したAndroidアプリ「Doze」がリリース、Android 4.1以上で利用可能 | juggly.cn
GIGAZINEよりも先に中国ドメインのブログが紹介してたのでメモ。ここの記事をGIGAZINEさんがパクっ適当に紹介した?

追記 20:50

VPN接続機能はデータ通信の安全を確保するためのセキュリティ機能という話があるけど、中国の回線網を使ってるっポイ。もしかすると、通信を全部中国経由のVPN接続(China UnicomとかChina Uninet)にして速度が出ないようにして、バッテリを消耗しないようにしてる可能性も。(そうなると全部通信内容中国に筒抜けですね) …さて…本当に安全でしょうか? ちなみに、この中国経由のVPN接続と別に中国QQへ定期通信を行っていますがこれについては回答がありません。

追記 11/20
rev
この人日本人で、たまたまひらがなを含まないレビューを書いたところ。
中国語(簡体)で返事が…。

中の人中国人ですね、これ

おすすめ

6件のフィードバック

  1. YUKI より:

    そのブログ、ドメインが中国なだけで普通の日本のブログですよ

  2. 名無し より:

    このブログは、昔はリーク情報を扱っていた経緯があるので、わざとcnドメインにしているのかもしれません。
    フォームから管理者さんに、このページを報告しておきました。

  3. 黒翼猫 より:

    ありがとうございます

  4. royink より:

    need safe, why android?

  5. 黒翼猫 より:

    It used new android function name, and it hided that it created tencent application.

  6. 七志です より:

    このアプリは本当に危険なのでしょうか?
    英語の記事を読んだ所、root化されていない端末以外はデータ通信遮断の為にVPNを使わざるを得ないと書いてありました。又、VPNは端末内に収まっているなどと、他のサーバーと連携していないそうなのですがどうなのでしょう?

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です