Поделиться
Новая версия шпионского троянца Mandrake два года распространялась через Google Play
Эксперты «Лаборатории Касперского» обнаружили новую версию Mandrake — шпионского троянца для Android. Она распространялась через Google Play с 2022 по 2024 гг. под видом пяти разных приложений. Они были доступны во многих странах мира. Суммарно их скачали как минимум 32 тыс. раз. На данный момент вредоносные программы удалены из магазина. Об этом CNews сообщили представители «Лаборатории Касперского».
Mandrake позволяет атакующим красть учетные данные с зараженных устройств, незаметно делать запись экрана смартфона и транслировать злоумышленникам происходящее на экране жертвы в режиме реального времени, чтобы они могли выполнять действия вместо пользователя, например нажимать на кнопки. Кроме того, троянец может загружать на девайс другие зловреды.
Новая версия зловреда распространялась под видом приложения для отслеживания курса криптовалют, а также двух игр, астрономического сервиса, посвященного теме космоса, и файлообменника. Больше всего скачиваний набрал фальшивый файлообменник — более 30 тыс. В отзывах люди писали, что программа не работает либо крадет данные на устройстве.
Основное отличие новой версии Mandrake в том, что злоумышленники внедрили дополнительные технологии запутывания кода (обфускации) и затруднения анализа, чтобы обойти модерацию в Google Play и усложнить анализ зловреда. Более того, Mandrake умеет проверять устройство, на котором запущен, на наличие индикаторов известных песочниц, а также инструментов отладки, определять страну пользователя и его мобильного оператора, «видеть» набор установленных приложений. Троянец загружает на устройство и запускает основной вредоносный модуль с командного сервера только в том случае, если владелец смартфона по набору признаков оказывается интересным для атакующих.
«Mandrake активен с 2016 г., ранее этот троянец уже находили в Google Play. Его новая версия отличается высокой сложностью с технической точки зрения. Обнаруженная нами кампания демонстрирует — несмотря на меры, которые принимаются, чтобы предотвратить проникновение зловредов в официальный стор, к сожалению, злоумышленники находят пути обхода модерации. При этом обнаруживать такие зловреды достаточно сложно», — сказала Татьяна Шишкова, ведущий эксперт по кибербезопасности в «Лаборатории Касперского».
Решения «Лаборатории Касперского» защищают пользователей от этой киберугрозы, детектируют ее как HEUR:Trojan-Spy.AndroidOS.Mandrake.
Чтобы не столкнуться с подобным вредоносным приложением, «Лаборатория Касперского» рекомендует владельцам смартфонов: прежде чем скачать приложение даже с официальной площадки, обязательно почитать отзывы о нем и посмотрите оценки; использовать надежные защитные решения, в том числе и на мобильных устройствах.
Поделиться
Короткая ссылка
