卑劣な Mandrake マルウェアが再び Google Play に侵入し、Android デバイスをスパイ

Mandrakeと呼ばれるAndroidスパイウェアは、2020年に発見された後、2022年にGoogle Playストアに再び潜入し、2024年4月にKasperskyによって発見されるまで入手可能なままでした。この2年間で、Mandrakeはいくつかのアプリを配布して32,000人の被害者を獲得しましたが、最も人気があったのはAirFSと呼ばれるWi-Fiファイル共有アプリでした。

Mandrake は、長い間検出されずにいられるいくつかの手法を採用しています。その 1 つは、特定のコードをほとんどの Android マルウェアとは異なる場所に移動し、オープンソース ソリューションを使用してそのコードを難読化するというものです。さらに、証明書ピンニングを使用しているため、Mandrake とコマンド アンド コントロール サーバー間のトラフィックをキャプチャすることは困難です。最後に、研究者が使用するサンドボックスや分析手法などのツールを回避するためにあらゆる手段を講じています。

Mandrake は被害者のデバイスに侵入すると、バックグラウンドで実行する許可を要求し、さまざまなデータを収集します。これには、デバイス情報、インストールされているアプリケーション、他の APK のインストール要求、ユーザーの画面の記録、デバイスがルート モードで実行されているかどうかの確認などが含まれます。

マンドレイクリターングーグルボディ

この最新の発見は、脅威アクターがモバイル プラットフォームによって実施されるチェックを回避するのがますます上手になっていることを示しています。しかし、研究者が発見する前に、このマルウェアについて警告する炭鉱のカナリアがいました。AirFS のユーザー レビューには、アプリがいかに壊れているかが詳しく書かれており、あるユーザーは「詐欺。アプリはあなたの電話とアカウントの情報をハッキングします」と述べ、マルウェアだと気づきました。Google と Apple は、アプリ ストアの維持管理の一環として、このようなコメントがないかレビューをチェックし始める価値があるかもしれません。

マンドレイクの帰還 これは、公式アプリストアを使用する場合でも、インストールする前に開発者を確認するなど、ユーザーが注意する必要があることを示しています。今後は、小規模で無名のアプリ開発者にとって状況がさらに厳しくなると思われます。

×