Търсене
Close this search box.

Нова версия на шпионския софтуер Mandrake за Android се появи в Google Play през 2022 г. и остана незабелязана в продължение на две години, като събра над 32 000 изтегляния, съобщава Kaspersky.

Първоначално подробно описана през 2020 г., Mandrake е сложна шпионска платформа, която осигурява на нападателите пълен контрол над заразените устройства, позволявайки им да крадат идентификационни данни, потребителски файлове и пари, да блокират обаждания и съобщения, да записват екрана и да изнудват жертвата.

Първоначалният шпионски софтуер е използван в две вълни на заразяване, започнали през 2016 г., но е останал незабелязан в продължение на четири години. След двегодишна пауза операторите на Mandrake вкараха нов вариант в Google Play, който остана неоткрит през последните две години.

През 2022 г. в Google Play са публикувани пет приложения, носещи шпионския софтуер, като последното – с име AirFS – е актуализирано през март 2024 г. и е премахнато от магазина за приложения по-късно същия месец.

„Към юли 2024 г. нито едно от приложенията не е било засечено като зловреден софтуер от нито един доставчик, според VirusTotal“, предупреждава сега Kaspersky.

Маскирано като приложение за споделяне на файлове, AirFS е имало над 30 000 изтегляния, когато е било премахнато от Google Play, като някои от тези, които са го изтеглили, са отбелязали злонамереното поведение в рецензиите, съобщава фирмата за киберсигурност.

Приложенията на Mandrake работят на три етапа: дропър, зареждач и ядро. Dropper скрива зловредното си поведение в силно замаскирана нативна библиотека, която декриптира loader от папка с активи и след това го изпълнява.

Един от образците обаче комбинира компонентите на loader и core в един APK файл, който дроперът декриптира от активите си.

След като зареждащото устройство се стартира, приложението Mandrake показва известие и иска разрешения за рисуване на наслагвания. Приложението събира информация за устройството и я изпраща на сървъра за командване и управление (C&C), който отговаря с команда за извличане и стартиране на основния компонент само ако целта се счита за подходяща.

Ядрото, което включва основната функционалност на зловредния софтуер, може да събира информация за устройството и потребителския акаунт, да взаимодейства с приложения, да позволява на нападателите да взаимодействат с устройството и да инсталира допълнителни модули, получени от C&C.

„Въпреки че основната цел на Mandrake остава непроменена от предишните кампании, сложността на кода и количеството на проверките за емулация значително са се увеличили в последните версии, за да се предотврати изпълнението на кода в среди, управлявани от анализатори на зловреден софтуер“, отбелязва Kaspersky.

Шпионският софтуер разчита на статично компилирана библиотека OpenSSL за комуникация C&C и използва криптиран сертификат, за да предотврати проследяването на мрежовия трафик.

Според Kaspersky по-голямата част от 32 000 изтегляния, които са събрали новите приложения на Mandrake, са дошли от потребители в Канада, Германия, Италия, Мексико, Испания, Перу и Обединеното кралство.

 

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
29/09/2024

Приложение за крипто измами...

Изследователи в областта на киберсигурността са...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!