父親のスマホのマルウェア(ほぼウィルスと言っても過言ではない)を再調査しました。
AndroisStoreにあるアプリ名「毎日の予報」が原因でしたね。こいつをインストールするとドコモ版端末での確認では、「ドコモの位置情報」アプリを書き換えている可能性が高いです。こいつは標準アプリであれば無効化などの設定が出来ると思いますが、 「毎日の予報」 をインストールすると設定出来なくなります。
「ドコモの位置情報」アプリは元々が常に起動しているアプリなのでその動作を流用して、一定間隔で「Storage Cleaner」というプロセス(インストールされたアプリではなく、多分動的アプリなような物)を起動しています。そして 「Storage Cleaner」が起動されると画面ハックが一定間隔で発生して広告だったり、別のクリーナーアプリをさらにインストールするよう促してきます。恐らくこれをインスト―ルするとさらに情報とか抜かれるでしょうね。
「ドコモの位置情報」アプリは 偽造されているから数秒単位で 「Storage Cleaner」 を起動します。仮に強制的にこのアプリ(Storage Cleaner)を停止させても数秒後には再度起動される仕組みになっています。元凶の 「毎日の予報」 アプリを削除しても 「ドコモの位置情報」 アプリを書き換えられているので常に「Storage Cleaner」が起動されます。よってここまで来ると「毎日の予報」アプリを削除しても無意味のようでした。これがこのマルウェアの仕組み・動作のようです。
他にも被害者さんがいると思うので一応暫定対応策を書いておきます。
端末の電源をONにしたら「ドコモの位置情報」、 「Storage Cleane」アプリは強制停止しておきましょう。これでマルウェアの動作は止まりますがあくまでも暫定対応なので、必要なものをバックアップしたら端末のフォーマットをお勧めしておきます( 「ドコモの位置情報」アプリ はシステムアプリのため、通常では削除出来ないので端末フォーマットがベストかなと)。
流石に仕事では無いのでこの程度しか見てませんが、パケットを調べれば何の情報を送ってたかもわかるでしょうね。さ~てとGoogle Storeやサイバー警察にでも届けるかな。
