トレンドマイクロは、「脆弱性について調査を進めたところ、Moplus SDK自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになった」と説明している。バイドゥがMoplusに実装したのは、開発過程における不具合による「脆弱性」（欠陥）ではなく、意図的に外部操作を可能とする「バックドア」であるとの見方を示す。

中国バイドゥのAndroid用SDKに外部操作可能なバックドア、約1億人に影響 | 日経 xTECH（クロステック）

開発環境を狙ったという点で先日のXcodeGhostと似ているけれど、今回のは本来の提供元がバックドアを仕込んでおくという点で悪質度が高い。

実はトレンドマイクロ自体のレポートはもっとはっきり言っている。

これらの調査詳細によって、Moplus SDK がバックドア型不正プログラムであるという見方が確信になりました。

脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明 | トレンドマイクロ セキュリティブログ

Baidu（百度）は一昨年にもSimejiで不正をやらかしていて、今回が初犯ではない。
一般に規約違反を犯したアプリベンダーはGooglePlayアカウントが停止される。日本のベンダーがエロ系で何度も引っかかっているが、本件の悪質度はエロ系どころではない。本来ならアカウント凍結が妥当だと思う。
ただ今回難しいのは、セキュリティホール（バックドア）を削除したバージョンに更新するためには、GooglePlayを使うのが一番早いというところで、止めれば良いというものではない。
「できるだけ自由を認めましょう」というところで、自由を悪用するのは中華系の常套手段だけど、困ったもんだ。