Kaspersky descoperă o nouă campanie de spyware Mandrake, cu peste 32.000 de instalări de pe Google Play

Cercetătorii Kaspersky au identificat o nouă campanie de spyware care distribuie malware Mandrake prin Google Play, sub acoperirea unor aplicații legitime, legate de criptomonede, astronomie și instrumente utilitare. Experții Kaspersky au descoperit cinci aplicații Mandrake pe Google Play, care au fost disponibile timp de doi ani și au înregistrat peste 32.000 de descărcări. Cele mai recente mostre prezintă tehnici avansate de escamotare și evaziune, permițându-le să rămână nedetectate de furnizorii de securitate.

Identificat pentru prima dată în 2020, programul spyware Mandrake este o platformă sofisticată de spionaj Android care este activă cel puțin din 2016. În aprilie 2024, cercetătorii Kaspersky au descoperit un eșantion suspect, sugerând o nouă versiune de Mandrake cu funcționalități îmbunătățite. Aceste noi mostre prezintă tehnici avansate de escamotare și evaziune, inclusiv mutarea funcțiilor rău intenționate în biblioteci native folosind OLLVM, implementarea de fixare a certificatelor pentru comunicarea securizată cu serverele de comandă și control (C2) și efectuarea de verificări ample pentru a detecta dacă Mandrake funcționează pe un dispozitiv real sau într-un mediu emulat.

Principala caracteristică distinctivă a noii variante Mandrake este adăugarea unor tehnici avansate de camuflare concepute pentru a ocoli verificările de securitate Google Play și a împiedica analiza. Experții companiei au identificat cinci aplicații care conțin programul spyware Mandrake, descărcate în total de peste 32.000 de ori. Aceste aplicații, toate publicate pe Google Play în 2022, au fost disponibile pentru descărcare timp de cel puțin un an. Au fost prezentate ca o aplicație de partajare a fișierelor prin Wi-Fi, o aplicație de servicii de astronomie, un joc Amber pentru Genshin, o aplicație de criptomonede și o aplicație cu puzzle-uri logice. Începând cu iulie 2024, niciuna dintre aceste aplicații nu a fost detectată ca malware de către niciun furnizor, potrivit VirusTotal.

Deși aceste aplicații rău intenționate nu mai sunt disponibile în Google Play, au fost disponibile în foarte multe țări, majoritatea descărcărilor având loc în Canada, Germania, Italia, Mexic, Spania, Peru și Marea Britanie.

Având în vedere asemănările campaniei actuale și anterioare cu domeniile C2 înregistrate în Rusia, presupunem cu mare încredere că actorul amenințării este același cu cel menționat în primul raport de detectare al Bitdefender.

Pentru a vă proteja de amenințări precum programul spyware Mandrake, experții Kaspersky sugerează să luați în considerare următoarele sfaturi:

• Utilizați magazinele oficiale: descărcați aplicații și software din surse de renume și oficiale. Evitați magazinele de aplicații terță parte, deoarece riscul ca acestea să găzduiască aplicații rău intenționate sau compromise este mai mare. Rețineți și faptul că, inclusiv platformele oficiale pot găzdui aplicații rău intenționate. Verificați întotdeauna recenziile și evaluările înainte de a descărca.
• Utilizați software de securitate sigur: instalați și mențineți software antivirus și anti-malware de renume pe dispozitivele personale. Scanați-vă în mod regulat dispozitivele pentru eventuale amenințări și mențineți software-ul de securitate actualizat. Kaspersky Premium vă protejează utilizatorii de amenințările cunoscute și necunoscute.
• Educați-vă despre înșelătoriile obișnuite: fiți informați despre cele mai recente amenințări, tehnici și tactici cibernetice. Fiți atenți la cererile nesolicitate, ofertele suspecte sau cererile urgente de informații personale sau financiare.
• Software-ul terță parte din surse populare vine adesea cu zero garanție. Rețineți că astfel de aplicații pot conține implanturi rău intenționate, de exemplu din cauza atacurilor lanțului de aprovizionare.