Nova iteracija sofisticiranog Android špijunskog softvera pod nazivom Mandrake otkrivena je u pet aplikacija koje su bile dostupne za preuzimanje iz Google Play prodavnice i ostale su neotkrivene dve godine.
Aplikacije su privukle ukupno više od 32.000 instalacija pre nego što su povučene iz prodavnice aplikacija, rekao je Kaspersky u svom izveštaju. Većina preuzimanja potiče iz Kanade, Nemačke, Italije, Meksika, Španije, Perua i Ujedinjenog Kraljevstva.
- Novi uzorci su uključivali nove slojeve tehnika zamagljivanja i izbegavanja, kao što je premeštanje zlonamerne funkcionalnosti u zamagljene izvorne biblioteke, korišćenje zakačenja sertifikata za C2 komunikacije i izvođenje širokog spektra testova da se proveri da li je Mandrake pokrenut na rutovanom uređaju ili u emulirano okruženje rekli su istraživači Tatyana Shishkova and Igor Golovin.
Mandrake je prvi put dokumentovao rumunski prodavac sajber bezbednosti Bitdefender u maju 2020., opisujući njegov namerni pristup zarazi nekoliko uređaja dok je uspevao da vreba u senci od 2016. Malver tek treba da se pripiše pretnji ili grupi.
Ažurirane varijante karakteriše upotreba OLLVM-a za prikrivanje glavne funkcionalnosti, dok takođe uključuje niz tehnika izbegavanja sandbox-a i anti-analize kako bi se sprečilo izvršavanje koda u okruženjima kojima upravljaju analitičari malvera.
Lista aplikacija koje sadrže Mandrake:
- AirFS (com.airft.ftrnsfr)
- Amber (com.shrp.sght)
- Astro Ekplorer (com.astro.dscvr)
- Brain Matrik (com.brnmth.mtrk)
- CriptoPulsing (com.criptopulsing.brovser)
Aplikacije se pakuju u tri faze: Droper koji pokreće učitavač odgovoran za izvršavanje osnovne komponente malvera nakon preuzimanja i dešifrovanja sa servera za komandu i kontrolu (C2).
Korisno opterećenje druge faze takođe je sposobno da prikuplja informacije o statusu povezivanja uređaja, instaliranim aplikacijama, procentu baterije, spoljnoj IP adresi i trenutnoj verziji Google Play-a. Štaviše, može obrisati osnovni modul i zatražiti dozvole i za pokretanje u pozadini.
Treća faza podržava dodatne komande za učitavanje određene URL adrese u WebView i pokretanje sesije deljenja ekrana na daljinu, kao i snimanje ekrana uređaja sa ciljem da se ukradu akreditivi žrtve i ispusti još malvera.
Android 13 je uveo funkciju 'Ograničena podešavanja', koja zabranjuje aplikacijama sa strane da direktno traže opasne dozvole, rekli su istraživači.
- Da bi zaobišao ovu funkciju, Mandrake obrađuje instalaciju pomoću instalatora paketa zasnovanog na sesiji, ističe Shishkova.
Ruska bezbednosna kompanija opisala je Mandrake kao primer pretnje koja se dinamički razvija i koja neprestano usavršava svoje zanatstvo kako bi zaobišla odbrambene mehanizme i izbegla otkrivanje.
Ovo naglašava zapanjujuće veštine aktera pretnji, kao i da se strožija kontrola aplikacija pre objavljivanja na tržištima samo pretvara u sofisticiranije pretnje koje je teže otkriti koje se ušunjaju na zvanična tržišta aplikacija.
Kada su ga kontaktirali za komentar, Google je rekao The Hacker News da kontinuirano podržava odbranu Google Play Protect-a kako se nove zlonamerne aplikacije označavaju i da poboljšava svoje mogućnosti uključivanjem detekcije pretnji uživo kako bi se uhvatio u koštac sa tehnikama prikrivanja i izbegavanja izbegavanja.
„Korisnici Android-a su automatski zaštićeni od poznatih verzija ovog malvera pomoću Google Play Protect-a, koji je podrazumevano uključen na Android uređajima sa Google Play uslugama“, rekao je portparol Googla.
„Google Play zaštita može da upozori korisnike ili blokira aplikacije za koje se zna da pokazuju zlonamerno ponašanje, čak i kada te aplikacije potiču iz izvora izvan Play-a.“