カスペルスキーは、同社のグローバル調査分析チームのリサーチャーが、Google Playストアでファイル共有や暗号資産（仮想通貨）、ゲームなどのアプリに偽装し、高度なスパイウェア「Mandrake（マンドレイク）」を配布する新たな攻撃活動を発見したと発表した。


　リサーチャーがGoogle Playで確認したMandrakeのアプリは五つ。これらは2年にわたって公開され、合計で3万2000回以上ダウンロードされていた。この最新のマルウェアサンプルには、高度な難読化技術と高い検知回避技術が備わっており、セキュリティーベンダーの検知を免れていた。Mandrakeはダウンロードされた後、標的になると判断したAndroidデバイスから、インストールされているアプリの情報やユーザーの認証情報などを窃取する。これらの悪意のあるアプリは、すでにGoogle Playから削除されている。

　2020年5月に初めてBitdefenderによって特定されたスパイウェアのMandrakeは、Androidを対象とした高度なスパイプラットフォームで、少なくとも16年から使用されている。今年4月、リサーチャーはより高度な機能を備えた新しいバージョンのMandrakeと思われる不審なマルウェアサンプルを発見した。これらのサンプルは、ソフトウェア難読化ツールであるoLLVM（Obfuscator-LLVM）を使用して悪意のある機能を難読化されたネイティブライブラリーに移行したり、指令サーバー（C2）とのセキュアな通信のために証明書のピン留めを実装したり、広範なチェックを実施してMandrakeがルート権限取得済みデバイスで動作しているのか、エミュレート環境で動作しているのかをテストするなど、高度な難読化と検知回避の技術を備えている。

　今回発見したMandrakeの亜種は、Google Playのセキュリティーチェックをかいくぐって解析を阻止するための高度な難読化技術を追加。アプリは、それぞれWi-Fi経由のファイル共有アプリ（AirFS）、暗号資産アプリ（CryptoPulsing）、天文学サービスアプリ（Astro Explorer）、ゲームアプリ（Amber for Genshin）、論理パズルアプリ（Brain Matrix）として提供されていた。なかでも、ファイル共有アプリを装った「AirFS」は、22年4月にGoogle Playで公開され、最終更新日は今年3月15日だったが、同3月中にGoogle Playから削除されるまでに3万回以上ダウンロードされていた。

　これらの悪意のあるアプリは、とくにカナダ、ドイツ、イタリア、メキシコ、スペイン、ペルー、英国で多くダウンロードされていた。Mandrakeの主な目的は、標的になると判断したAndroidデバイスにインストールされているアプリの情報、ユーザーの認証情報などを窃取し、次の段階の悪意のあるアプリケーションをダウンロードして実行すること。

　疑わしいファイルやURLを分析し、マルウェアや悪意のあるコンテンツの種類を検出するオンラインサービスVirusTotalによると、今年7月の時点でこれらのアプリはいずれも、どのベンダーにもマルウェアとして検知されていない。

　現在の活動と前回Bitdefenderによる検知レポートで報告された活動は、両方ともロシアで登録されたC2ドメインに類似性があることから、今回の脅威アクターは前回と同一である可能性が非常に高いとみている。カスペルスキー製品では、この脅威を「HEUR:Trojan-Spy.AndroidOS.Mandrake.*」という検知名で検知・ブロックする。