7月初めに、Android デバイスの99%に影響を及ぼすというデジタル署名を無効化することなく正規のAndroidアプリに悪質なコードをインジェクトできる脆弱性(マスターキー脆弱性)が発見され話題となったが、シマンテックがこの脆弱性を悪用した初めての例を検出したという。

同件はシマンテックがオフィシャルブログの7月24日の投稿で報告している。悪用例はまず2つのアプリで確認され、いずれも中国のAndroidマーケットプレイスで公開されている、病院を検索して予約できる正規のアプリだったという。

攻撃者は、前述の脆弱性を悪用して元のAndroidアプリを改変。デバイスのリモート制御、IMEI(International Mobile Equipment Identity:端末識別番号)や電話番号などの重要な情報を盗み、プレミアムSMSメッセージの送信などを可能にするコードを追加。さらに、ルートコマンドを使用し、いくつかの中国製モバイルセキュリティソフトウェアアプリを無効にする機能も追加しているという。

さらにシマンテックでは、サードパーティのアプリサイトにおいて、同様に攻撃によって感染した4つのアプリを確認。そのアプリは、中国語ユーザー向けに開発されたニュースアプリ、アーケードゲーム、カードゲーム、ギャンブル/宝くじアプリだという。

シマンテックでは、これらの脆弱性を悪用したアプリを「Android.Skullkey」として検出。ノートン モバイルセキュリティを使用することで、この脅威から端末を保護することができるとしている。なお今回の悪用例は、シマンテックが提供する何百ものマーケットプレイスからAndroidアプリを採取して自動的に解析するシステム「ノートン モバイルインサイト」により発見に至ったと説明している。