Mandrake モバイルマルウェアはユーザーを騙すために巧妙な手段を講じる

2 年以上もの間、人目につかない場所に潜んでいた Mandrake として知られる謎の Android マルウェア ファミリーが、再び Google Play に登場しました。ファイル共有、天文学、暗号通貨などのカテゴリの正規アプリを装った Mandrake は、スパイ活動を効果的に隠蔽してきた歴史があります。2020 年にセキュリティ企業 Bitdefender によって初めて特定された Mandrake の復活は、モバイル セキュリティにおける継続的な課題を浮き彫りにしています。

マンドレイクの進化

Mandrake のオペレーターは検出を回避することに長けていることが証明されています。2016 年から 2017 年、および 2018 年から 2020 年の 2 回の波で活動を開始した Mandrake は、検出されないようにいくつかの高度な戦術を採用しています。

• 地理的ターゲティング: Mandrake は、旧ソ連諸国を含む 90 か国での活動を避け、検出のリスクを軽減しています。
• 選択的ターゲティング: マルウェアは、非常に特定のターゲットにのみペイロードを配信します。
• 自己破壊メカニズム: Mandrake には、「切腹」(日本の自殺儀式の一種) と呼ばれるキル スイッチが搭載されており、マルウェアの痕跡をすべて消去します。
• デコイ アプリ: 金融、自動車、生産性など、さまざまなカテゴリの完全に機能するデコイ アプリは、その真の意図を隠すのに役立ちます。
• 迅速な対応: 開発者は、正当性の外観を維持するために、アプリのコメントで報告されたバグに迅速に対処します。
• TLS 証明書ピンニング: この手法は、コマンド アンド コントロール サーバーとの通信を隠します。

侵入の新たな波

Bitdefender の 2020 年のレポートの後、Mandrake は Google Play から消えたように見えました。しかし、セキュリティ会社 Kaspersky は、このマルウェアが最近まで気づかれずに 2022 年に再出現したと報告しています。Mandrake に感染したアプリの新しい波は、隠蔽性を高め、サンドボックス分析を回避し、最近のマルウェア保護を回避するための高度な対策をいくつか導入しました。

カスペルスキーの研究者タチアナ・シシュコワとイゴール・ゴロビンは、マンドレイクのダイナミックな進化を強調し、その最新のキャンペーンが Google Play でダウンロード可能であったにもかかわらず 2 年間も検出されなかったことを指摘しました。これは、脅威アクターの高度なスキルと、より高度な脅威がうっかり見逃されることなく、より厳格なアプリ制御を実施するという継続的な課題を示しています。

高度な難読化技術

最新世代の Mandrake の主な特徴は、分析を阻止し、検出を回避するために設計された、複数の難読化レイヤーです。

• ネイティブ ライブラリ: 悪意のある機能がネイティブ ライブラリに移動されたため、マルウェアの分析と検出が困難になっています。
• OLLVM Obfuscator : このツールはネイティブ ライブラリをさらに難読化し、Mandrake のステルス性を高めます。

Mandrake の主な目的は、ユーザーの認証情報を盗み、次の段階の悪意のあるアプリケーションをダウンロードして実行することです。これらのアクションは、感染の後の段階でのみ発生し、厳選された少数の被害者をターゲットにします。1 つの方法は、被害者がパスコードを入力している間の画面を録画することです。

続く戦い

Mandrake の再出現は、モバイル マルウェアの脅威が持続的かつ進化していることを浮き彫りにしています。セキュリティ対策やアプリ審査プロセスが改善されているにもかかわらず、脅威の攻撃者は公式アプリ マーケットプレイスに侵入するためのより洗練された手法を開発し続けています。Mandrake の事例が示すように、ユーザーをこれらの隠れた危険から保護するには、警戒とセキュリティ対策の継続的な革新が不可欠です。