Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Вредонос Mandrake поразил сразу 5 приложений в Google Play Store

31/07/24

1570866_1

Вчера, 29 июля, исследователи из «Лаборатории Касперского» сообщили о новой версии шпионского ПО Mandrake (Мандрагора), которая, используя улучшенные методы сокрытия и обхода защитных систем, проникла в Google Play через пять абсолютно разных приложений, загруженных ещё в 2022 году.

Впервые Mandrake был задокументирован компанией Bitdefender в 2020 году. Тогда вредонос тоже вызвал неподдельное удивление специалистов, так как на момент обнаружения успешно скрывался в Google Play целых четыре года, пишет Securitylab.

Итак, ниже предоставлен список обнаруженных «Лабораторией Касперского» вредоносных приложений. Примечательно, что самое популярное из них представители Google удалили лишь в марте этого года.

  1. AirFS — 30 305 загрузок (с апреля 2022 по март 2024);
  2. Astro Explorer — 718 загрузок (с мая 2022 по июнь 2023);
  3. Amber — 19 загрузок (с февраля 2022 по август 2023);
  4. CryptoPulsing — 790 загрузок (с ноября 2022 по июнь 2023);
  5. Brain Matrix — 259 загрузок (с апреля 2022 по июнь 2023).

Большинство загрузок заражённых приложений приходится на Канаду, Германию, Италию, Мексику, Испанию, Перу и Великобританию.

В отличие от большинства вредоносных программ для Android, которые размещают вредоносную логику в DEX-файле приложения, Mandrake скрывает свою начальную стадию в нативной библиотеке «libopencv_dnn.so», которая сильно обфусцирована с использованием OLLVM.

После установки приложения эта библиотека экспортирует функции для расшифровки и загрузки второго этапа из DEX-файла. На втором этапе приложение запрашивает разрешения для отображения наложений и загружает вторую нативную библиотеку «libopencv_java3.so», которая расшифровывает сертификат для безопасного общения с командным сервером.

После установления связи с сервером, приложение отправляет профиль устройства и получает основной компонент Mandrake, если устройство подходит. После его активации, шпионское ПО может выполнять широкий спектр вредоносных действий, включая сбор данных, запись экрана, выполнение команд, имитацию жестов пользователя, управление файлами и установку приложений.

Новая версия Mandrake включает усовершенствованные методы обхода защиты, такие как проверка наличия инструментария Frida, популярного среди аналитиков безопасности, проверку статуса root на устройстве, а также проверку монтирования системного раздела в режиме только для чтения.

Темы:AndroidприложенияПреступленияЛКGoogle Play
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...