Androidがおかしな挙動をする

考察

ハッキングに利用された脆弱性はStagefrightではないかと思う
JVNVU#92141772: Android Stagefright に複数の脆弱性
gigazine.net
japanese.engadget.com

という根拠は

ハックの危険性は、Googleが定義する指標でもっとも危険な「クリティカル」よりひとつ下の「高」。具体的には、リモートからアプリ権限での任意コード実行を許す脆弱性が分類されます。Androidはアプリを隔離してサンドボックス実行するため、悪意のあるコードが全アプリの情報にアクセスできるわけではありませんが、一方でカメラやマイクなどへのアクセス、メッセージの読み取り、SDカード領域のファイル読み取りや外部送信などは可能です。

・まあ、なんかサンドボックスとか越えてガンガンアプリにアクセスされていたので複数の脆弱性を利用されたとかいろいろあるかもしれません

あとがき

・京セラ氏〜、早くこれのパッチ出してくだされ〜
・対応策に関する情報が真剣にほしいです、誰か情報ください！
・Android側にファイルを仕込む形で操作しているはずなので、どんなファイルを置いているのかわかればいいのですが
・人生二度目の被ハッキングでした、いくら技術目的とは言えクソ腹立つ

nantonaku-shiawase.hatenablog.com

追記１

・物的証拠や第三者による観察がないので決定的な証跡に乏しい、検証のためAndroid自体のファイルをすべてバックアップしてから初期化するつもり
・Androidのファイルをよく見ていると、2015年 8月 1日(土) 18:55:54のタイムスタンプでカメラが作動して３枚写真が撮られていた。もちろんポケットの中に入っているので何も写っていないが一応はてなフォトライフにあげておく（圧縮されているがExif情報は消えていないようだ。位置情報とかも入っているので機種情報とか知りたい方は見てどうぞ　→　
404KC - panzer-jagdironscrap1's fotolife
）。
・熱暴走って意見がブコメで出てるけど…カメラとかビデオ撮ったり、14kmのウォーキングの最中にLINEで特定の文字列を打ち込んで５人にトーク送信したり、見たことのないアニメをあえてveohでURL直打ちで見たりって多分できないと思うんですよ…

Android内のデータを物色して出てきたものとか

・LINEの一斉トーク発信は7/31 21:11 に発生したが、その２分後にsimejiの変換履歴がファイルとして残っていた。一応言っておくがこのような文字を打った記憶はない。まあもちろんこれを私が自作自演で打つことはできるので何の証拠にもならないが。

-rw-r----- 1 xxxx xxxx       43  7月 31 21:13 ./apps/com.adamrocker.android.input.simeji/f/fixed_phrase_history

$ cat ./apps/com.adamrocker.android.input.simeji/f/fixed_phrase_history
今夜飲まない？
====----****----====

・LINEの一斉トーク発信の時刻が最終の更新タイムスタンプになっているSQLite3のデータベースファイルが残っていた。詳細はわからず。
・結局Androidの内部を全部さらっても何も出てこなかった、かなりくやしい。

追記２

つらつら調べていると、最近は*2Android端末をWEB上から操作できるアプリケーションが出ているらしい。そのようなアプリケーションが勝手にインストールされていたとしたら、このような攻撃も可能になるだろう。

もともとAndroidにおいてもリモートデスクトップ的なサービスはあった。最初はPC側のVNC serverにリモートログインできるだけのクライアントアプリしか見かけなかったが、以下のように Android側に立てたVNC serverをクライアントからいじるようなものも出てきているようだ。
Android端末をリモート操作するアプリ3つ! -- ぺけみさお

上で紹介されているアプリはroot化や、特殊な条件が必要ではあるが、遠隔からAndroidを操作するという点では目的を達成できそうだ。

さらに検索してると怪しげなアプリも見つかる