Kaspersky、スパイウェア「Mandrake」の新たな攻撃活動が2年間検知されず、Google Playから32,000回以上ダウンロードされていたことを発見

[本リリースは、2024年7月29日にKasperskyが発表したプレスリリースに基づき作成したものです]

--【概要】---
Kasperskyのグローバル調査分析チーム（GReAT）※のリサーチャーはこのたび、Google Playストアでファイル共有や暗号資産（仮想通貨）、ゲームなどのアプリに偽装し、高度なスパイウェア「Mandrake（マンドレイク）」を配布する新たな攻撃活動を発見しました。リサーチャーがGoogle Playで確認したMandrakeのアプリは五つあり、これらは2年にわたって公開され、合計で32,000回以上ダウンロードされていました。この最新のマルウェアサンプルには、高度な難読化技術と高い検知回避技術が備わっており、セキュリティベンダーの検知を免れていました。Mandrakeはダウンロードされた後、標的になると判断したAndroidデバイスから、インストールされているアプリの情報やユーザーの認証情報などを窃取します。これらの悪意のあるアプリは既にGoogle Playから削除されています。
--------------

2020年5月に初めてBitdefender社によって特定されたスパイウェア Mandrakeは、Androidを対象とした高度なスパイプラットフォームで、少なくとも2016年から使用されています。2024年4月、当社のリサーチャーが、より高度な機能を備えた新しいバージョンのMandrakeと思われる不審なマルウェアサンプルを発見しました。これらのサンプルは、ソフトウェア難読化ツールであるoLLVM（Obfuscator-LLVM）を使用して悪意のある機能を難読化されたネイティブライブラリに移行したり、指令サーバー（C2）とのセキュアな通信のために証明書のピン留めを実装したり、広範なチェックを実施してMandrakeがルート権限取得済みデバイスで動作しているのかエミュレート環境で動作しているのかをテストするなど、高度な難読化と検知回避の技術を備えています。

今回発見したMandrakeの亜種の特徴は、Google Playのセキュリティチェックをかいくぐって解析を阻止するための高度な難読化技術が追加されている点です。リサーチャーが特定した五つのアプリは2022年にGoogle Playで公開されたもので、少なくとも1年間はダウンロード可能な状態にあり、合計で32,000回以上ダウンロードされていました。アプリは、それぞれWi-Fi経由のファイル共有アプリ（AirFS）、暗号資産アプリ（CryptoPulsing）、天文学サービスアプリ（Astro Explorer）、ゲームアプリ（Amber for Genshin）、論理パズルアプリ（Brain Matrix）として提供されていました。中でも、ファイル共有アプリを装った「AirFS」は、2022年4月にGoogle Playで公開され、最終更新日は2024年3月15日でしたが、同3月中にGoogle Playから削除されるまでに30,000回以上ダウンロードされていました。

これらの悪意のあるアプリは、特にカナダ、ドイツ、イタリア、メキシコ、スペイン、ペルー、英国で多くダウンロードされていました。Mandrakeの主な目的は、標的になると判断したAndroidデバイスにインストールされているアプリの情報、ユーザーの認証情報などを窃取し、次の段階の悪意のあるアプリケーションをダウンロードして実行することです。

疑わしいファイルやURLを分析し、マルウェアや悪意のあるコンテンツの種類を検出するオンラインサービスVirusTotalによると、2024年7月の時点でこれらのアプリはいずれも、どのベンダーにもマルウェアとして検知されていません。

現在の活動と前回Bitdefender社による検知レポートで報告された活動は、両方ともロシアで登録されたC2ドメインに類似性があることから、今回の脅威アクターは前回と同一である可能性が非常に高いとみています。

KasperskyのGReATでリードセキュリティリサーチャーを務めるタチアナ・シシュコヴァ（Tatyana Shishkova）は、次のように述べています。「最初のバージョンで4年にわたり検知を回避していたMandrakeですが、最新の活動もまた2年間Google Playで検知されずにいました。これは、攻撃者が高度なスキルを備えていることの表れです。また、公式アプリストアの規制が強化されセキュリティチェックが厳格化するにつれて、アプリストアに侵入する脅威もますます高度化し、より検知が難しくなるという悩ましい傾向も示しています」

■ カスペルスキー製品は、この脅威を次の検知名で検知・ブロックします。
 HEUR:Trojan-Spy.AndroidOS.Mandrake.*

■ Mandrakeなどのスパイウェアの脅威から身を守るため、次のような対策を推奨しています。
・公式ストアを利用する：アプリやソフトウェアは信頼のおける公式の提供元からダウンロードしましょう。公式以外のアプリストアは、悪意のあるアプリや改ざんされたアプリが公開されているリスクが高いため避けるようにしましょう。ただし、公式ストアでも悪意のあるアプリが公開されていることがあるので注意が必要です。ダウンロードする前に必ずレビューや評価を確認することをお勧めします。
・信頼のおけるセキュリティソフトウェアを使用する：お使いのデバイスに、信頼できるセキュリティソフトウェアをインストールしておきましょう。定期的にデバイスをスキャンして脅威の有無を確認し、セキュリティソフトウェアも常に最新の状態に保つようにしましょう。カスペルスキー プレミアムは、既知および未知の脅威からユーザーを守ります。
・よくある詐欺の手口について知る：最新のサイバー脅威、手法、手口について把握しておきましょう。身に覚えのないリクエストや怪しげなお得情報、個人情報や金銭にかかわる情報を早急に教えてほしいという要求などに警戒してください。
・人気のプラットフォームで提供されているサードパーティのソフトウェアは多くの場合、保証がありません。そうしたアプリには、サプライチェーン攻撃などによりマルウェアが仕込まれている可能性があるため、注意が必要です。

■ 詳細は、Securelistブログ（英語）「Mandrake spyware sneaks onto Google Play again, flying under the radar for two years」でご覧いただけます。

※ グローバル調査分析チーム（Global Research and Analysis Team、GReAT、グレート）
GReATは当社の研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

■ Kaspersky について
Kasperskyは、1997年に設立されたサイバーセキュリティとデジタルプライバシーを専門とするグローバル企業です。これまでに、10億を超えるデバイスを新たなサイバー脅威や標的型攻撃から保護しています。当社が有する深く高度な脅威インテリジェンスとセキュリティの専門性は、革新的なセキュリティソリューションやサービスに常に反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、22万を超える企業や組織の重要な資産を守る力になっています。詳しくは  www.kaspersky.co.jp をご覧ください。