サイブル・リサーチ・アンド・インテリジェンス・ラボズの研究者が、MiningDropperという新たな危険なAndroidウイルスの出現を報告した。このウイルスは単純な暗号通貨マイニングを超えて急速に進化している。当初は秘匿的な暗号通貨マイニングのツールとして位置づけられていたが、今では様々な脅威を配信する本格的なプラットフォームとなった。そのアーキテクチャは解析・検知システムを回避することを可能にしており、特に危険である。
MiningDropperの主な特徴は、マルウェアコードをロードするための複雑な多段階スキームにある。XOR難読化、AES暗号化、動的コンポーネントローディング、アンチエミュレーション保護など、高度な難読化手法を利用する。これにより、マルウェアは感染初期段階で真の機能を隠蔽することができる。
悪意あるプログラムの主要な要素は、デバイス上に明示的に保存されない。それらはメモリ内に直接展開される。このアプローチは、分析と脅威検知を著しく困難にする。
配布もユーザーの気づかないうちに行われる。あるケースでは、攻撃者はオープンソースアプリケーション「Lumolight」の改変版を利用した。通常のユーティリティのように見えるが、マルウェアをロードする仕組みを隠し持っている。ユーザーがアプリに必要な権限を付与することで、事実上システムへのアクセスが開かれてしまう。
インストール後、MiningDropperはデバイスを分析し、どのペイロードを起動するかを決定する。これは隠れたマイニングであったり、データ窃取や他の種類の攻撃を含む、より深刻なシナリオであったりする可能性がある。
専門家は、MiningDropperはもはや普通のマイナーとは見なせないと強調している。これは柔軟でモジュール式のツールであり、攻撃者は悪意あるインフラストラクチャを完全に書き直す必要なく、攻撃ターゲットを迅速に変更できる。