Эксперты «Лаборатории Касперского» обнаружили новую версию Mandrake — шпионского троянца для Android. Она распространялась через Google Play с 2022 по 2024 год под видом пяти разных приложений. Они были доступны во многих странах мира. Суммарно их скачали как минимум 32 тысячи раз. На данный момент вредоносные программы удалены из стора.
Чем опасен. Mandrake позволяет атакующим красть учётные данные с заражённых устройств, незаметно делать запись экрана смартфона и транслировать злоумышленникам происходящее на экране жертвы в режиме реального времени, чтобы они могли выполнять действия вместо пользователя, например нажимать на кнопки. Кроме того, троянец может загружать на девайс другие зловреды.
Чем прикрывается. Новая версия зловреда распространялась под видом приложения для отслеживания курса криптовалют, а также двух игр, астрономического сервиса, посвящённого теме космоса, и файлообменника. Больше всего скачиваний набрал фальшивый файлообменник — более 30 тысяч. В отзывах люди писали, что программа не работает либо крадёт данные на устройстве.
Как прячется. Основное отличие новой версии Mandrake в том, что злоумышленники внедрили дополнительные технологии запутывания кода (обфускации) и затруднения анализа, чтобы обойти модерацию в Google Play и усложнить анализ зловреда. Более того, Mandrake умеет проверять устройство, на котором запущен, на наличие индикаторов известных песочниц, а также инструментов отладки, определять страну пользователя и его мобильного оператора, «видеть» набор установленных приложений. Троянец загружает на устройство и запускает основной вредоносный модуль с командного сервера только в том случае, если владелец смартфона по набору признаков оказывается интересным для атакующих.
«Mandrake активен с 2016 года, ранее этот троянец уже находили в Google Play. Его новая версия отличается высокой сложностью с технической точки зрения. Обнаруженная нами кампания демонстрирует — несмотря на меры, которые принимаются, чтобы предотвратить проникновение зловредов в официальный стор, к сожалению, злоумышленники находят пути обхода модерации. При этом обнаруживать такие зловреды достаточно сложно», — комментирует Татьяна Шишкова, ведущий эксперт по кибербезопасности в «Лаборатории Касперского».
Решения «Лаборатории Касперского» защищают пользователей от этой киберугрозы, детектируют её как HEUR:Trojan-Spy.AndroidOS.Mandrake.
Чтобы не столкнуться с подобным вредоносным приложением, «Лаборатория Касперского» рекомендует владельцам смартфонов:
- прежде чем скачать приложение даже с официальной площадки, обязательно почитайте отзывы о нём и посмотрите оценки;
- используйте надёжные защитные решения, в том числе и на мобильных устройствах, такие как Kaspersky для Android.
Больше подробностей о новой версии шпионского троянца Mandrake на сайте: securelist.ru/mandrake-apps-return-to-google-play/109944/.