マカフィーは11月22日、公式ブログにおいて、サイバー犯罪集団「Lazarus Group」が過去に使用した実行形式のファイルと類似した構成を持つ ELF形式 のバックドアが含まれた新種のAndroidマルウェアを発見したと伝えた。

このマルウェアは、韓国語で聖書を読むアプリをリパッケージしたもので、正規アプリはGoogle Playストア上で配布され、1300回以上インストールされていたという。

Google Playストア上の正規アプリ

一方、この正規アプリをリパッケージしたマルウェアはGoogle Playストアで配布された実績がなく、どのように配布されていたかは現時点では不明としている。

マルウェアには、制御サーバのIPアドレス一覧が含まれているが、現在は、すべて停止されているという。

このマルウェアと「Lazarus」によるマルウェアのバックドアを比較したところ、どちらの関数も似ていることが明らかになったとしている。

同社は、今回発見したAndroidに対する脅威が「Lazarus」によるモバイルプラットフォームでの最初の活動であるかどうかはわからないが、コードの類似性に基づき、サイバー犯罪集団「Lazarus」がモバイル分野で攻撃を展開していることに高い確信を持っていると述べている。

Sony Picturesに対する攻撃で使用された実行ファイルと同様の機能を持つことが明らかに