Kaspersky descopera o noua campanie de spyware Mandrake, nedetectata de doi ani, cu peste 32.000 de instalari de pe Google Play
3/37209
calendar_month 31 Iul 2024, 12:25


Cercetatorii Kaspersky au identificat o noua campanie de spyware care distribuie malware Mandrake prin Google Play, sub acoperirea unor aplicatii legitime, legate de criptomonede, astronomie si instrumente utilitare. Expertii Kaspersky au descoperit cinci aplicatii Mandrake pe Google Play, care au fost disponibile timp de doi ani si au inregistrat peste 32.000 de descarcari. Cele mai recente mostre prezinta tehnici avansate de escamotare si evaziune, permitandu-le sa ramana nedetectate de furnizorii de securitate.

Identificat pentru prima data in 2020, programul spyware Mandrake este o platforma sofisticata de spionaj Android care este activa cel putin din 2016. In aprilie 2024, cercetatorii Kaspersky au descoperit un esantion suspect, sugerand o noua versiune de Mandrake cu functionalitati imbunatatite. Aceste noi mostre prezinta tehnici avansate de escamotare si evaziune, inclusiv mutarea functiilor rau intentionate in biblioteci native folosind OLLVM, implementarea de fixare a certificatelor pentru comunicarea securizata cu serverele de comanda si control (C2) si efectuarea de verificari ample pentru a detecta daca Mandrake functioneaza pe un dispozitiv real sau intr-un mediu emulat.

Principala caracteristica distinctiva a noii variante Mandrake este adaugarea unor tehnici avansate de camuflare concepute pentru a ocoli verificarile de securitate Google Play si a impiedica analiza. Expertii companiei au identificat cinci aplicatii care contin programul spyware Mandrake, descarcate in total de peste 32.000 de ori. Aceste aplicatii, toate publicate pe Google Play in 2022, au fost disponibile pentru descarcare timp de cel putin un an. Au fost prezentate ca o aplicatie de partajare a fisierelor prin Wi-Fi, o aplicatie de servicii de astronomie, un joc Amber pentru Genshin, o aplicatie de criptomonede si o aplicatie cu puzzle-uri logice. Incepand cu iulie 2024, niciuna dintre aceste aplicatii nu a fost detectata ca malware de catre niciun furnizor, potrivit VirusTotal.

Desi aceste aplicatii rau intentionate nu mai sunt disponibile in Google Play, au fost disponibile in foarte multe tari, majoritatea descarcarilor avand loc in Canada, Germania, Italia, Mexic, Spania, Peru si Marea Britanie.

Avand in vedere asemanarile campaniei actuale si anterioare cu domeniile C2 inregistrate in Rusia, presupunem cu mare incredere ca actorul amenintarii este acelasi cu cel mentionat in primul raport de detectare al Bitdefender.

Pentru a afla mai multe despre noua campanie de spyware Mandrake, vizitati Securelist.com.

Pentru a va proteja de amenintari precum programul spyware Mandrake, expertii Kaspersky sugereaza sa luati in considerare urmatoarele sfaturi:

Utilizati magazinele oficiale: descarcati aplicatii si software din surse de renume si oficiale. Evitati magazinele de aplicatii terta parte, deoarece riscul ca acestea sa gazduiasca aplicatii rau intentionate sau compromise este mai mare. Retineti si faptul ca, inclusiv platformele oficiale pot gazdui aplicatii rau intentionate. Verificati intotdeauna recenziile si evaluarile inainte de a descarca. 

Utilizati software de securitate sigur: instalati si mentineti software antivirus si anti-malware de renume pe dispozitivele personale.

Scanati-va in mod regulat dispozitivele pentru eventuale amenintari si mentineti software-ul de securitate actualizat. Kaspersky Premium va protejeaza utilizatorii de amenintarile cunoscute si necunoscute. 



Educati-va despre inselatoriile obisnuite: fiti informati despre cele mai recente amenintari, tehnici si tactici cibernetice. Fiti atenti la cererile nesolicitate, ofertele suspecte sau cererile urgente de informatii personale sau financiare. 

Software-ul terta parte din surse populare vine adesea cu zero garantie. Retineti ca astfel de aplicatii pot contine implanturi rau intentionate, de exemplu din cauza atacurilor lantului de aprovizionare.