Kaspersky Labは7月29日(現地時間)、「New Mandrake Android spyware version discovered on Google Play|Securelist」において、Google Playより配布された複数のアプリからマルウェア「Mandrake」の亜種を発見したと伝えた。これらアプリは2024年3月末までにGoogle Playから削除されたが、合計32,000回以上ダウンロードされたとみられている。
悪意のあるアプリ
発見された悪意のあるアプリは合計5つで、最も新しいものは2024年3月15日に更新されている。アプリの一覧は次のとおり。
- AirFS (com.airft.ftrnsfr)
- Astro Explorer (com.astro.dscvr)
- Amber (com.shrp.sght)
- CryptoPulsing (com.cryptopulsing.browser)
- Brain Matrix (com.brnmth.mtrx)
VirusTotalによると、これらアプリは2024年7月の時点で主要なセキュリティソリューションにおいてマルウェアとして検出されないという。なお、Kaspersky LabはBrain Matrixの取得に失敗しており、このアプリに関してのみ開発者と公開日に基づく推測としている。
マルウェア「Mandrake」の亜種
発見されたマルウェア「Mandrake」の亜種は、ドロッパー、ローダーを介して展開される。初期のドロッパーはネイティブライブラリー「libopencv_dnn.so」に含まれ、検出を回避するためoLLVM難読化ツールにより高度に難読化されている。
ドロッパーはローダーを復号して実行する。ローダーはコマンド&コントロール(C2: Command and Control)サーバとの接続を確立し、デバイスの情報を送信する。攻撃者はデバイス情報を確認して標的になると判断した場合に限り、Mandrakeの展開をローダーに指示する。
Mandrakeには主に次の機能があるとされる。
- サンドボックスの検出と回避
- デバイス情報の窃取
- インストール済みアプリの一覧を窃取
- アカウント情報の窃取
- WebViewオーバーレイによる遠隔操作
- スクリーンショットの窃取
影響と対策
発見された悪意のあるアプリはすべて2022年に公開されたもの。削除までの2年近くの間にカナダ、ドイツ、イタリア、メキシコ、スペイン、ペルー、英国のユーザーを中心にダウンロードされたとみられている。
これらアプリをダウンロードしたユーザーには速やかなアプリの削除が推奨されている。また、Kaspersky Labは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。