Androidマルウェア「Necro」、Google Play経由で1,100万台の端末に感染 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Androidマルウェア「Necro」、Google Play経由で1,100万台の端末に感染

Threat Report

Android

Citrine Sleet

Coral SDK

Androidマルウェア「Necro」、Google Play経由で1,100万台の端末に感染

佐々山 Tacos

佐々山 Tacos

2024.09.24

9月24日:サイバーセキュリティ関連ニュース

Androidマルウェア「Necro」、Google Play経由で1,100万台の端末に感染

BleepingComputer – September 23, 2024

Google Playストアで配信されているアプリを通じて、1,100万台ものAndroidデバイスがマルウェアローダー「Necro」の新たなバージョンに感染していたという。これは悪意あるSDK(ソフトウェア開発キット)を利用したサプライチェーン攻撃とされており、公式のPlayストア上のアプリ以外にも、非公式サイトで提供されているWhatsAppやSpotifyのMod版もNecroの配布手段になっていたとされる。

Kasperskyによれば、Necroに感染していたPlayストア上のアプリは以下の2つで、いずれにも「Coral SDK」という広告用SDKが使用されていたという。Coral SDKは難読化手法を用いて自らの悪意ある活動を隠しつつ、ステガノグラフィ技術を使って無害なPNG画像に見せかけた第二段階のペイロード「shellPlugin」をダウンロードする役割を果たすとされる。

  • Wuta Camera:「Benqu」が提供する写真の編集・加工アプリ。Playストア上でのダウンロード数は1,000万回を超える。Necroは、バージョン6.3.2.148のリリースとともにアプリ内に入り込み、バージョン6.3.6.148まで残存。その後、6.3.7.138で排除されている。
  • Max Browser:「WA message recover-wamr」が提供するブラウザアプリ。最新のバージョン1.2.0がまだNecroに感染している状態であるため、クリーンなバージョンは存在しない。Playストアから取り下げられるまでに100万回ダウンロードされていた。

また、上記の正規アプリ以外に、非公式Webサイトで配信されている以下のような人気アプリのMod版も、Necroの拡散に使われていたという。

  • WhatsAppのMod(GBWhatsApp、FMWhatsApp)
  • SpotifyのMod(Spotify Plus)
  • MinecraftのMod
  • Stumble GuysのMod
  • Car Parking MultiplayerのMod
  • Melon SandboxのMod

いずれのアプリを通じた感染のケースでも、その後行われる悪意ある行動は同様。Necroは、攻撃者に不正な収入をもたらすためにバックグラウンドで広告を表示したり、ユーザーの同意なしにアプリやAPKをインストールしたり、ユーザーが視認できないWebViewを使って有料サービスを使用したりするという。

Mod版を配布するWebサイトはダウンロード数を正確に報告しているわけではないため、Necro Trojanの感染総数は不明だが、Google Playストア経由での感染数は少なくとも1,100万件に上るとのこと。

Pythonパッケージに潜む新マルウェアPondRAT、ソフトウェア開発者らを標的に

The Hacker News – Sep 23, 2024

北朝鮮との繋がりを持つ脅威アクターが、有害なPythonパッケージを使って新たなマルウェア「PondRAT」を配布しようとするのが観測されている。攻撃者は、これらのパッケージをオープンソースPythonパッケージの人気リポジトリであるPyPIに複数アップロードしていたという。

PondRATは、Lazarusグループの関与が指摘される既知のmacOS向けバックドア「POOLRAT(SIMPLESEA)」のライト版だと評価されている。その性能には、ファイルのアップロードおよびダウンロード、事前に設定された期間におけるオペレーションの停止、任意コマンドの実行がある。

このキャンペーンについて報告したPalo Alto NetworksのUnit 42によると、PondRATの配布に使用された悪意あるパッケージは以下。なお、現在はPyPIリポジトリから削除されているという。

  • real-ids(ダウンロード数:893)
  • coloredtxt(ダウンロード数:381)
  • beautifultext(ダウンロード数:736)
  • minisound(ダウンロード数:416)

これらのパッケージは、システムにダウンロード・インストールされるとエンコードされた次段階のコードが実行され、これによってリモートサーバーから取得されたPondRATが起動されるそう。攻撃では、POOLRATのLinux版亜種が配布されるのも観測されている。

この攻撃の最終目的は、「PyPIを利用する開発者たちのエンドポイントを通じてサプライチェーンベンダーへのアクセスを確保し、その後、当該ベンダーの顧客のエンドポイントへのアクセスも獲得すること」だとされる。Unit 42の研究者らは、今回のキャンペーンに関与している脅威アクターは「Gleaming Pisces」だろうと中程度の確度で評価しているという。Gleaming PiscesはCitrine Sleet、Labyrinth Chollima、Nickel Academy、UNC4736といった呼称でも知られ、Lazarusのサブクラスターと考えられているとのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ