Nova iteracija sofisticiranog Android špijunskog softvera nazvanog Mandrake otkrivena je u pet aplikacija koje su bile dostupne za preuzimanje sa Google Play Store-a i koje su ostale neotkrivene dvije godine.
Aplikacije su privukle ukupno više od 32.000 instalacija prije nego što su povučene iz prodavnice aplikacija, rekao je Kaspersky u zapisu u ponedjeljak. Većina preuzimanja je potekla iz Kanade, Njemačke, Italije, Meksika, Španije, Perua i Ujedinjenog Kraljevstva.
“Novi uzorci su uključivali nove slojeve tehnika zamagljivanja i izbjegavanja, kao što je premještanje zlonamjerne funkcionalnosti u zamagljene izvorne biblioteke, korištenje zakačenja certifikata za C2 komunikacije i izvođenje širokog spektra testova kako bi se provjerilo radi li Mandrake na root-ovanom uređaju ili u oponašano okruženje“, rekli su istraživači Tatjana Šiškova i Igor Golovin.
Mandrake je prvi dokumentirao rumunski dobavljač cyber sigurnosti Bitdefender u maju 2020., opisujući njegov namjerni pristup zarazi nekoliko uređaja dok je uspio vrebati u sjeni od 2016. Zlonamjerni softver tek treba pripisati hakeru ili grupi prijetnji.
Ažurirane varijante karkterisana upotreba OLLVM-a za prikrivanje glavne funkcionalnosti, dok takođe uključuje niz tehnika izbjegavanja pješčanog okruženja i anti-analize kako bi se spriječilo izvršavanje koda u okruženjima kojima upravljaju analitičari zlonamjernog softvera.
Spisak aplikacija koje sadrže Mandrake:
- AirFS (com.airft.ftrnsfr)
- Amber (com.shrp.sght)
- Astro Explorer (com.astro.dscvr)
- Brain Matrix (com.brnmth.mtrx)
- CryptoPulsing (com.cryptopulsing.browser)
Aplikacije se pakuju u tri faze: Droper koji pokreće učitavač odgovoran za izvršavanje osnovne komponente zlonamjernog softvera nakon preuzimanja i dešifriranja sa servera za naredbu i kontrolu (C2).
Špijunski softver Mandrake
Korisno opterećenje druge faze takođe može prikupljati informacije o statusu povezivanja uređaja, instaliranim aplikacijama, postotku baterije, vanjskoj IP adresi i trenutnoj verziji Google Play-a. Osim toga, može obrisati osnovni modul i zatražiti dozvole za crtanje preklapanja i pokretanje u pozadini.
Treća faza podržava dodatne komande za učitavanje određenog URL-a u WebView i pokretanje sesije dijeljenja ekrana na daljinu, kao i snimanje ekrana uređaja s ciljem krađe akredativa žrtve i izbacivanja više zlonamjernog softvera.
“Android 13 uveo je funkciju ‘Restricted Settings’, koja zabranjuje bočnim aplikacijama da direktno traže opasne dozvole,” rekli su istraživači. “Da bi zaobišao ovu funkciju, Mandrake obrađuje instalaciju pomoću instalatora paketa baziranih na sesiji.”
Ruska sigurnosna kompanija opisala je Mandrake kao primjer prijetnje koja se dinamički razvija i koja stalno usavršava svoje zanate kako bi zaobišla odbrambene mehanizme i izbjegla otkrivanje.
“Ovo naglašava zapanjujuće vještine hakera, kao i da se strožija kontrola aplikacija prije objavljivanja na tržištima samo pretvara u sofisticiranije prijetnje koje je teže otkriti koje se šuljaju na zvanična tržišta aplikacija”, navodi se u saopštenju.
“Korisnici Androida su automatski zaštićeni od poznatih verzija ovog zlonamjernog softvera pomoću Google Play Protect-a, koji je po defaultu uključen na Android uređajima s Google Play uslugama”, rekao je glasnogovornik Googlea. „Google Play Protect može upozoriti korisnike ili blokirati aplikacije za koje je poznato da pokazuju zlonamjerno ponašanje, čak i kada te aplikacije dolaze iz izvora izvan Play-a.“
Izvor:The Hacker News