.jpg)
Nauja „Android“ šnipinėjimo programos „Mandrake“ versija buvo rasta penkiose programose, atsisiųstose 32 000 kartų iš oficialios platformos programų parduotuvės „Google Play“.
„Bitdefender“ pirmą kartą dokumentavo „Mandrake“ 2020 m., tyrėjai pabrėžė sudėtingas kenkėjiškos programos šnipinėjimo galimybes ir pažymėjo, kad ji gamtoje veikė mažiausiai nuo 2016 m.
„Kaspersky“ dabar praneša, kad naujas „Mandrake“ variantas, pasižymintis geresniu užtemdymu ir vengimu, pateko į „Google Play“ per penkias programas, pateiktas parduotuvei 2022 m.
Tos programėlės išliko pasiekiamos mažiausiai metus, o paskutinė, populiarumo ir infekcijų požiūriu sėkmingiausia AirFS, buvo pašalinta 2024 m. kovo pabaigoje.
Šaltinis: Kaspersky
„Kaspersky“ nustatė penkias „Mandrake“ nešiojamas programas taip:
- AirFS – Failų bendrinimas per „Wi-Fi“ naudojant it9042 (30 305 atsisiuntimai nuo 2022 m. balandžio 28 d. iki 2024 m. kovo 15 d.)
- Astro Explorer Shevabad (718 atsisiuntimų nuo 2022 m. gegužės 30 d. iki 2023 m. birželio 6 d.)
- Gintaras kodaslda (19 atsisiuntimų nuo 2022 m. vasario 27 d. iki 2023 m. rugpjūčio 19 d.)
- Kriptopulsavimas Shevabad (790 atsisiuntimų nuo 2022 m. lapkričio 2 d. iki 2023 m. birželio 6 d.)
- Smegenų matrica kodaslda (259 atsisiuntimai nuo 2022 m. balandžio 27 d. iki 2023 m. birželio 6 d.)
Kibernetinio saugumo įmonė teigia, kad dauguma atsisiuntimų gaunama iš Kanados, Vokietijos, Italijos, Meksikos, Ispanijos, Peru ir JK.
Šaltinis: Kaspersky
Vengti aptikimo
Skirtingai nuo įprastų „Android“ kenkėjiškų programų, kurios įtraukia kenkėjišką logiką į programos DEX failą, „Mandrake“ slepia pradinį etapą savojoje bibliotekoje „libopencv_dnn.so“, kuri labai trikdo naudojant OLLVM.
Įdiegus kenkėjišką programą, biblioteka eksportuoja funkcijas, kad iššifruotų antrosios pakopos įkėlimo programą DEX iš savo išteklių aplanko ir įkeltų ją į atmintį.
Antrajame etape prašoma leidimo nupiešti perdangas ir įkeliama antroji savoji biblioteka „libopencv_java3.so“, kuri iššifruoja saugaus ryšio su komandų ir valdymo (C2) serveriu sertifikatą.
Užmezgusi ryšį su C2, programa siunčia įrenginio profilį ir gauna pagrindinį Mandrake komponentą (trečiasis etapas), jei manoma, kad tai tinkama.
Suaktyvinus pagrindinį komponentą, „Mandrake“ šnipinėjimo programa gali atlikti daugybę kenkėjiškų veiksmų, įskaitant duomenų rinkimą, ekrano įrašymą ir stebėjimą, komandų vykdymą, vartotojo braukimų ir bakstelėjimų modeliavimą, failų tvarkymą ir programų diegimą.
Pažymėtina, kad grėsmės veikėjai gali paskatinti vartotojus įdiegti kitus kenkėjiškus APK rodydami pranešimus, imituojančius „Google Play“, tikėdamiesi apgaudinėti vartotojus, kad jie įdiegtų nesaugius failus naudojant iš pažiūros patikimą procesą.
„Kaspersky“ teigia, kad kenkėjiška programa taip pat naudoja seansu pagrįstą diegimo metodą, kad apeitų „Android 13“ (ir naujesnės versijos) apribojimus diegti APK iš neoficialių šaltinių.
Kaip ir kitos „Android“ kenkėjiškos programos, „Mandrake“ gali paprašyti vartotojo suteikti leidimą veikti fone ir paslėpti lašintuvo programėlės piktogramą aukos įrenginyje, veikiant slaptai.
Naujausioje kenkėjiškos programinės įrangos versijoje taip pat yra vengimas sumušti, dabar specialiai tikrinama, ar nėra Frida – dinamiško prietaisų rinkinio, populiaraus tarp saugumo analitikų.
Ji taip pat patikrina įrenginio šakninę būseną, ieško konkrečių su juo susijusių dvejetainių failų, patikrina, ar sistemos skaidinys prijungtas kaip tik skaitomas, ir patikrina, ar įrenginyje įjungti kūrimo nustatymai ir ADB.
„Mandrake“ grėsmė išlieka gyva ir nors penkios „Kaspersky“ identifikuotos programos „Google Play“ nebepasiekiamos, kenkėjiškos programos gali grįžti per naujas, sunkiau aptinkamas programas.
„Android“ naudotojams rekomenduojama įdiegti tik patikimų leidėjų programas, prieš diegdami patikrinti naudotojų komentarus, vengti rizikingų leidimų, kurie atrodo nesusiję su programos funkcija, užklausų ir užtikrinti, kad „Play Protect“ visada būtų aktyvi.
