Mandrake spyware: Στοχεύει το Google Play Store
Ένα νέο κύμα spyware Android, γνωστό ως Mandrake, έχει ανακαλυφθεί σε πέντε εφαρμογές στο Google Play Store.
Αυτές οι εφαρμογές παρέμειναν μη ανιχνεύσιμες για δύο χρόνια και είχαν περισσότερες από 32.000 εγκαταστάσεις.
Οι περισσότερες λήψεις προήλθαν από τον Καναδά, τη Γερμανία, την Ιταλία, το Μεξικό, την Ισπανία, το Περού και το Ηνωμένο Βασίλειο. Η νέα έκδοση του Mandrake περιλαμβάνει προηγμένες τεχνικές για “obfuscation and evasion”, όπως η μεταφορά κακόβουλου λογισμικού σε μη αναγνωρίσιμες βιβλιοθήκες και η χρήση πιστοποίησης για τις επικοινωνίες C2.
Το Mandrake εντοπίστηκε για πρώτη φορά από την Bitdefender τον Μάιο του 2020, παρόλο που είναι ενεργό από το 2016. Οι ενημερωμένες παραλλαγές του χρησιμοποιούν προηγμένες τεχνικές “evasion και anti-analysis”, αποφεύγοντας την εκτέλεση σε περιβάλλοντα που προορίζονται για την ανάλυση κακόβουλου λογισμικού. Οι εφαρμογές που πλήττονται περιλαμβάνουν τις: AirFS, Amber, Astro Explorer, Brain Matrix και CryptoPulsing.
Το Mandrake αρχικά εγκαθιστά ένα droper που κατεβάζει και εκτελεί το κύριο κακόβουλο στοιχείο. Ακολουθεί η συλλογή πληροφοριών από τη συσκευή, καθώς και η δυνατότητα εκτέλεσης περαιτέρω κακόβουλων ενεργειών, όπως η καταγραφή της οθόνης και η κλοπή διαπιστευτηρίων. Παρόλο βέβαια που το Android 13 εισήγαγε λειτουργίες για να περιορίσει τα δικαιώματα, το Mandrake καταφέρνει να τα παρακάμψει.
Η Google ανακοίνωσε ότι συνεχώς ενισχύει την ασφάλεια του Google Play Protect, διασφαλίζοντας ότι οι χρήστες Android προστατεύονται αυτόματα από νέες παραλλαγές αυτού του κακόβουλου λογισμικού.
