Нова версия на шпионския софтуер Mandrake за Android се появи в Google Play през 2022 г. и остана незабелязана в продължение на две години, като събра над 32 000 изтегляния, съобщава Kaspersky.
Първоначално подробно описана през 2020 г., Mandrake е сложна шпионска платформа, която осигурява на нападателите пълен контрол над заразените устройства, позволявайки им да крадат идентификационни данни, потребителски файлове и пари, да блокират обаждания и съобщения, да записват екрана и да изнудват жертвата.
Първоначалният шпионски софтуер е използван в две вълни на заразяване, започнали през 2016 г., но е останал незабелязан в продължение на четири години. След двегодишна пауза операторите на Mandrake вкараха нов вариант в Google Play, който остана неоткрит през последните две години.
През 2022 г. в Google Play са публикувани пет приложения, носещи шпионския софтуер, като последното – с име AirFS – е актуализирано през март 2024 г. и е премахнато от магазина за приложения по-късно същия месец.
„Към юли 2024 г. нито едно от приложенията не е било засечено като зловреден софтуер от нито един доставчик, според VirusTotal“, предупреждава сега Kaspersky.
Маскирано като приложение за споделяне на файлове, AirFS е имало над 30 000 изтегляния, когато е било премахнато от Google Play, като някои от тези, които са го изтеглили, са отбелязали злонамереното поведение в рецензиите, съобщава фирмата за киберсигурност.
Приложенията на Mandrake работят на три етапа: дропър, зареждач и ядро. Dropper скрива зловредното си поведение в силно замаскирана нативна библиотека, която декриптира loader от папка с активи и след това го изпълнява.
Един от образците обаче комбинира компонентите на loader и core в един APK файл, който дроперът декриптира от активите си.
След като зареждащото устройство се стартира, приложението Mandrake показва известие и иска разрешения за рисуване на наслагвания. Приложението събира информация за устройството и я изпраща на сървъра за командване и управление (C&C), който отговаря с команда за извличане и стартиране на основния компонент само ако целта се счита за подходяща.
Ядрото, което включва основната функционалност на зловредния софтуер, може да събира информация за устройството и потребителския акаунт, да взаимодейства с приложения, да позволява на нападателите да взаимодействат с устройството и да инсталира допълнителни модули, получени от C&C.
„Въпреки че основната цел на Mandrake остава непроменена от предишните кампании, сложността на кода и количеството на проверките за емулация значително са се увеличили в последните версии, за да се предотврати изпълнението на кода в среди, управлявани от анализатори на зловреден софтуер“, отбелязва Kaspersky.
Шпионският софтуер разчита на статично компилирана библиотека OpenSSL за комуникация C&C и използва криптиран сертификат, за да предотврати проследяването на мрежовия трафик.
Според Kaspersky по-голямата част от 32 000 изтегляния, които са събрали новите приложения на Mandrake, са дошли от потребители в Канада, Германия, Италия, Мексико, Испания, Перу и Обединеното кралство.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.