Эксперты предупреждают, что неизученная ранее вариация известного шпионского ПО для Android находилась в магазине приложений Google Play около двух лет, заразив десятки тысяч устройств.
Исследование Kaspersky показало, что в апреле их специалисты обнаружили «подозрительный образец», который оказался новой версией зловредной программы Mandrake.
Проанализировав этот образец, команда выявила пять приложений для Android, которые находились в Google Play на протяжении двух лет и суммарно имели более 32,000 скачиваний. Они были загружены в 2022 году, причем каждый из них был доступен «как минимум год», что позволяет предположить, что не все приложения были доступны одновременно.
Маскировка в приложениях для криптовалют и астрономии
Вирус прятался в приложении для обмена файлами по Wi-Fi, приложении для астрономии, игре Amber для Genshin, приложении для криптовалют и приложении с логическими головоломками. По данным Kaspersky, на июль 2024 года, ни одно из этих приложений не определялось как вредоносное, но Google уже удалил их из своего магазина приложений.
Mandrake впервые был обнаружен в 2020 году, когда аналитики сообщили, что он, вероятно, действовал с 2016 года. Этот сложный вредоносный софт способен красть конфиденциальную информацию, получать удаленный контроль над устройством, записывать нажатия клавиш, делать скриншоты и извлекать данные с устройств.
Обход защитных мер и продвинутые методы
Новая версия Mandrake обладала усовершенствованными методами маскировки и обхода защитных механизмов, что позволило ей оставаться нераспознанной. Одним из таких методов была возможность переноса вредоносных функций в зашифрованные нативные библиотеки с использованием OLLVM, внедрение сертификационного пиннинга для безопасного общения с сервером управления и контроля (C2), а также выполнение обширных проверок на наличие рутирования или эмуляции устройства.
Вредоносное ПО также могло обходить проверки безопасности Google Play.
География распространения
Когда приложения были доступны в Google Play, большинство скачиваний совершались из Канады, Германии, Италии, Мексики, Испании, Перу и Великобритании.
По данным Kaspersky, предполагается, что злоумышленники имеют российское происхождение, так как домены серверов управления и контроля зарегистрированы в России.
Источник: TechRadar
