一种名为 Mandrake 的复杂网络间谍工具在近两年的时间里出现在 Google Play 上可供下载的五款应用中,目标是加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国的用户。
根据网络安全公司卡巴斯基周一发布的报告,这些应用程序已被安装超过 32,000 次,但未被任何安全工具检测到。
Google Play 中的 Mandrake 应用
Mandrake 之前被描述为“一种极其复杂的 Android 恶意软件”。它是 2020 年由罗马尼亚网络安全公司 Bitdefender 的研究人员发现的,但在此之前已在野外活跃了至少四年。当时,研究人员估计四年期间的受害者人数达“数十万”。
今年 4 月初,卡巴斯基公司的研究人员发现了一个“可疑样本”,他们声称这是 Mandrake 的新版本,它使用了更先进的技术来避免被发现。最新版本的 Mandrake 隐藏在五个 Android 应用程序中,包括一款学习天文学的服务、一款记忆训练应用程序、一款文件共享服务、一款游戏应用程序和一个面向加密爱好者的平台。这些应用程序在 Google Play 商店上架近两年后,于 2024 年 3 月底被下架。
Mandrake 分几个阶段收集设备信息。首先,它收集设备数据,包括已安装应用程序列表、移动网络数据、IP 地址和唯一设备标识符。
卡巴斯基表示,如果基于这些信息,攻击者发现受害者很有趣,他们就会运行恶意软件的主要组件,其中包含高级功能,例如打开设备上的 WiFi、通过远程访问启动屏幕录制以及用户帐户和凭据信息。
恶意软件运营者会避开那些被感染设备无法给他们带来任何利益回报的国家。例如,据 Bitdefender 称,在之前的活动中,Mandrake 避开了低收入国家、非洲国家、前苏联国家和主要讲阿拉伯语的国家。
目前尚不清楚黑客如何使用他们在攻击过程中获得的信息,也不清楚这些行动造成了何种损害。Mandrake 背后的黑客组织尚未确定,但卡巴斯基和 Bitdefender 的报告表明该恶意软件与俄罗斯有关。
卡巴斯基表示,新发现表明,Mandrake 正在“不断进化,改进伪装方法,并绕过新的防御机制”。
研究人员表示,该恶意软件在 Google Play 上多年来一直未被发现,“表明攻击者的资质很高,而且在应用程序发布到市场之前对其进行的限制和检查越来越严格,这导致更复杂的威胁能够渗透到官方应用商店,使它们更难被发现”。
谷歌发言人表示,公司已经意识到这些应用程序的存在,并已推出改进措施以帮助打击反逃避技术。“Google Play Protect 会自动保护 Android 用户免受已知版本的恶意软件攻击,该功能在安装了 Google Play 服务的 Android 设备上默认启用。Google Play Protect 可以警告用户或阻止已知表现出恶意行为的应用程序,即使这些应用程序来自Google Play 之外。”
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/5yZglooBYQT1dsK4mMub-w
暂无评论内容