两年后在 Google Play 商店应用程序中发现新的 Mandrake 间谍软件

2024-07-31 06:13:20 1 504

两年后在 Google Play 商店应用程序中发现新的 Mandrake 间谍软件

一种名为Mandrake的复杂Android间谍软件的新版本在5个应用程序中被发现,这些应用程序可从Google Play商店下载,并且两年来一直未被发现。

卡巴斯基在周一的一篇文章中表示,这些应用程序在从应用程序商店下架之前总共吸引了超过32,000次安装。大部分下载来自加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国。

“新样本包括新的混淆和规避技术层,例如将恶意功能转移到混淆的本机库、使用证书固定进行C2通信,以及执行广泛的测试来检查Mandrake是否在root设备上或在模拟环境中运行,”研究人员Tatyana Shishkova和Igor Golovin说。

罗马尼亚网络安全供应商Bitdefender于2020年5月首次记录了Mandrake,描述了其自2016年以来在设法潜伏在阴影中的同时故意感染少数设备的方法。

更新后的变体的特点是使用OLLVM来隐藏主要功能,同时还结合了一系列沙箱规避和反分析技术,以防止代码在恶意软件分析师操作的环境中执行。

包含Mandrake的应用程序列表如下:

AirFS (com.airft.ftrnsfr)
Amber (com.shrp.sght) 琥珀 (com.shrp.sght)
Astro Explorer (com.astro.dscvr) 天文探索者 (com.astro.dscvr)
Brain Matrix (com.brnmth.mtrx) 大脑矩阵 (com.brnmth.mtrx)
CryptoPulsing (com.cryptopulsing.browser)
这些应用程序分为三个阶段:一个释放程序,启动一个加载程序,负责在从命令和控制(C2)服务器下载并解密恶意软件的核心组件后执行该加载程序。

第二阶段有效负载还能够收集有关设备连接状态、已安装应用程序、电池百分比、外部IP地址和当前Google Play版本的信息。此外,它可以擦除核心模块并请求绘制叠加层并在后台运行的权限。

第三阶段支持额外的命令来加载WebView中的特定URL、启动远程屏幕共享会话以及记录设备屏幕,目的是窃取受害者的凭据并投放更多恶意软件。

研究人员表示:“Android 13引入了‘受限设置’功能,禁止侧载应用程序直接请求危险权限。” “为了绕过此功能,Mandrake使用‘基于会话’的软件包安装程序来处理安装。”

这家俄罗斯安全公司将Mandrake描述为动态演变的威胁的一个例子,该威胁不断改进其间谍技术以绕过防御机制并逃避检测。

报告称:“这凸显了威胁行为者的强大技能,而且在应用程序在市场上发布之前对应用程序进行更严格的控制只会导致更复杂、更难以检测的威胁潜入官方应用程序市场。”

当记者联系到谷歌发表评论时,谷歌告诉《黑客新闻》,随着新的恶意应用程序被标记,它正在不断加强Google Play Protect防御,并正在增强其能力,包括实时威胁检测,以解决混淆和反规避技术。

谷歌发言人表示:“Google Play Protect会自动保护Android用户免受该恶意软件的已知版本的侵害,该功能在具有Google Play服务的Android设备上默认处于开启状态。” “Google Play Protect可以警告用户或阻止已知表现出恶意行为的应用程序,即使这些应用程序来自Play之外的来源。”

关于作者

zsc081020篇文章38篇回复

评论1次

要评论?请先  登录  或  注册
  • 1楼
    2024-8-2 20:34

    苹果商店和google play以后越来越难了,隐藏很深的间谍软件很难被发现,要保证软件的安全性真的是一大考验啊