Cercetătorii Kaspersky au identificat o nouă campanie de spyware care distribuie malware Mandrake prin Google Play, sub acoperirea unor aplicaţii legitime, legate de criptomonede, astronomie şi instrumente utilitare. Experţii Kaspersky au descoperit cinci aplicaţii Mandrake pe Google Play, care au fost disponibile timp de doi ani şi au înregistrat peste 32.000 de descărcări. Cele mai recente mostre prezintă tehnici avansate de escamotare şi evaziune, permiţându-le să rămână nedetectate de furnizorii de securitate, conform unui comunicat de presă remis Redacţiei.
Identificat pentru prima dată în 2020, programul spyware Mandrake este o platformă sofisticată de spionaj Android care este activă cel puţin din 2016. În aprilie 2024, cercetătorii Kaspersky au descoperit un eşantion suspect, sugerând o nouă versiune de Mandrake cu funcţionalităţi îmbunătăţite. Aceste noi mostre prezintă tehnici avansate de escamotare şi evaziune, inclusiv mutarea funcţiilor rău intenţionate în biblioteci native folosind OLLVM, implementarea de fixare a certificatelor pentru comunicarea securizată cu serverele de comandă şi control (C2) şi efectuarea de verificări ample pentru a detecta dacă Mandrake funcţionează pe un dispozitiv real sau într-un mediu emulat.
Principala caracteristică distinctivă a noii variante Mandrake este adăugarea unor tehnici avansate de camuflare concepute pentru a ocoli verificările de securitate Google Play şi a împiedica analiza. Experţii companiei au identificat cinci aplicaţii care conţin programul spyware Mandrake, descărcate în total de peste 32.000 de ori. Aceste aplicaţii, toate publicate pe Google Play în 2022, au fost disponibile pentru descărcare timp de cel puţin un an. Au fost prezentate ca o aplicaţie de partajare a fişierelor prin Wi-Fi, o aplicaţie de servicii de astronomie, un joc Amber pentru Genshin, o aplicaţie de criptomonede şi o aplicaţie cu puzzle-uri logice. Începând cu iulie 2024, niciuna dintre aceste aplicaţii nu a fost detectată ca malware de către niciun furnizor, potrivit VirusTotal.
Deşi aceste aplicaţii rău intenţionate nu mai sunt disponibile în Google Play, au fost disponibile în foarte multe ţări, majoritatea descărcărilor având loc în Canada, Germania, Italia, Mexic, Spania, Peru şi Marea Britanie.
Având în vedere asemănările campaniei actuale şi anterioare cu domeniile C2 înregistrate în Rusia, presupunem cu mare încredere că actorul ameninţării este acelaşi cu cel menţionat în primul raport de detectare al Bitdefender.
Pentru a afla mai multe despre noua campanie de spyware Mandrake, vizitaţi Securelist.com.
Pentru a vă proteja de ameninţări precum programul spyware Mandrake, experţii Kaspersky sugerează să luaţi în considerare următoarele sfaturi:
Utilizaţi magazinele oficiale: descărcaţi aplicaţii şi software din surse de renume şi oficiale. Evitaţi magazinele de aplicaţii terţă parte, deoarece riscul ca acestea să găzduiască aplicaţii rău intenţionate sau compromise este mai mare. Reţineţi şi faptul că, inclusiv platformele oficiale pot găzdui aplicaţii rău intenţionate. Verificaţi întotdeauna recenziile şi evaluările înainte de a descărca.
Utilizaţi software de securitate sigur: instalaţi şi menţineţi software antivirus şi anti-malware de renume pe dispozitivele personale. Scanaţi-vă în mod regulat dispozitivele pentru eventuale ameninţări şi menţineţi software-ul de securitate actualizat. Kaspersky Premium vă protejează utilizatorii de ameninţările cunoscute şi necunoscute.
Educaţi-vă despre înşelătoriile obişnuite: fiţi informaţi despre cele mai recente ameninţări, tehnici şi tactici cibernetice. Fiţi atenţi la cererile nesolicitate, ofertele suspecte sau cererile urgente de informaţii personale sau financiare.
Software-ul terţă parte din surse populare vine adesea cu zero garanţie. Reţineţi că astfel de aplicaţii pot conţine implanturi rău intenţionate, de exemplu din cauza atacurilor lanţului de aprovizionare.