Μια νέα έκδοση του Android spyware «Mandrake», βρέθηκε σε πέντε εφαρμογές που έχουν ληφθεί 32.000 φορές από το Google Play, το επίσημο κατάστημα εφαρμογών της πλατφόρμας.

Δείτε επίσης: Hackers μολύνουν χρήστες του Hamster Kombat με spyware

Το Bitdefender κατέγραψε για πρώτη φορά το Mandrake spyware το 2020, με τους ερευνητές να επισημαίνουν τις εξελιγμένες δυνατότητες κατασκοπείας του κακόβουλου λογισμικού και να σημειώνουν ότι χρησιμοποιείται τουλάχιστον από το 2016.

Η Kaspersky αναφέρει τώρα ότι μια νέα παραλλαγή του Mandrake που διαθέτει καλύτερες δυνατότητες αποφυγής ανίχνευσης, έχει παρεισφρήσει στο Google Play μέσω πέντε εφαρμογών που υποβλήθηκαν στο κατάστημα το 2022.

Αυτές οι εφαρμογές παρέμειναν διαθέσιμες για τουλάχιστον ένα χρόνο, ενώ η τελευταία, η AirFS, η οποία ήταν η πιο επιτυχημένη από άποψη δημοτικότητας και μολύνσεων, καταργήθηκε στα τέλη Μαρτίου 2024.

Οι πέντε εφαρμογές που φέρουν το Mandrake spyware είναι οι εξής:

  • AirFS – Κοινή χρήση αρχείων μέσω Wi-Fi (30.305 λήψεις μεταξύ 28 Απριλίου 2022 και 15 Μαρτίου 2024)
  • Astro Explorer (718 λήψεις από 30 Μαΐου 2022 έως 6 Ιουνίου 2023)
  • Amber (19 λήψεις μεταξύ 27 Φεβρουαρίου 2022 και 19 Αυγούστου 2023)
  • CryptoPulsing (790 λήψεις από τις 2 Νοεμβρίου 2022 έως τις 6 Ιουνίου 2023)
  • Brain Matrix (259 λήψεις μεταξύ 27 Απριλίου 2022 και 6 Ιουνίου 2023)

Η εταιρεία κυβερνοασφάλειας λέει ότι οι περισσότερες λήψεις προέρχονται από τον Καναδά, τη Γερμανία, την Ιταλία, το Μεξικό, την Ισπανία, το Περού και το Ηνωμένο Βασίλειο.

Δείτε ακόμα: Η συμμορία Pro-Houthi στοχεύει την Υεμένη με Android Spyware

Αποφυγή ανίχνευσης

Σε αντίθεση με το τυπικό κακόβουλο λογισμικό Android, το Mandrake spyware κρύβει το αρχικό του στάδιο σε μια εγγενή βιβλιοθήκη, «libopencv_dnn.so», η οποία είναι πολύ ασαφής χρησιμοποιώντας το OLLVM.

Κατά την εγκατάσταση της κακόβουλης εφαρμογής, η βιβλιοθήκη εξάγει λειτουργίες για την αποκρυπτογράφηση του δεύτερου σταδίου φορτωτή DEX από τον φάκελο των στοιχείων του και τη φόρτωσή του στη μνήμη.

Το δεύτερο στάδιο ζητά δικαιώματα για τη σχεδίαση επικαλύψεων και φορτώνει μια δεύτερη εγγενή βιβλιοθήκη, «libopencv_java3.so», η οποία αποκρυπτογραφεί ένα πιστοποιητικό για ασφαλείς επικοινωνίες με τον διακομιστή εντολών και ελέγχου (C2).

Έχοντας δημιουργήσει επικοινωνία με το C2, η εφαρμογή στέλνει ένα προφίλ συσκευής και λαμβάνει το βασικό Mandrake spyware (τρίτο στάδιο) εάν κριθεί κατάλληλο.

Μόλις ενεργοποιηθεί το βασικό στοιχείο, το Mandrake spyware μπορεί να εκτελέσει ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων, όπως συλλογή δεδομένων, εγγραφή και παρακολούθηση οθόνης, εκτέλεση εντολών, προσομοίωση swipes και πατημάτων χρήστη, διαχείριση αρχείων και εγκατάσταση εφαρμογών.

Δείτε επίσης: Η Apple ειδοποιεί τους χρήστες iPhone σε 98 χώρες για επιθέσεις spyware

Το Spyware, όπως το Mandrake, είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για τη συλλογή πληροφοριών σχετικά με ένα άτομο ή έναν οργανισμό χωρίς τη συγκατάθεσή του. Λειτουργεί αθόρυβα στο παρασκήνιο, συλλέγοντας δεδομένα όπως συνήθειες περιήγησης, προσωπικές πληροφορίες και διαπιστευτήρια σύνδεσης, συχνά για να στείλει αυτές τις πληροφορίες σε τρίτους. Η κρυφή φύση του spyware καθιστά δύσκολο τον εντοπισμό από τους χρήστες και μπορεί να θέσει σε σημαντικό κίνδυνο το απόρρητο και την ασφάλεια. Για την προστασία από λογισμικό spyware, είναι σημαντικό να διατηρείτε ενημερωμένο λογισμικό προστασίας από ιούς, να εφαρμόζετε συνήθειες ασφαλούς περιήγησης και να σαρώνετε τακτικά συσκευές για πιθανές απειλές.

Πηγή: bleepingcomputer