Мистериозно семейство зловреден софтуер за Android с доказана история на ефективно прикриване на безбройните си шпионски дейности отново е открито в Google Play след повече от две години криене на съвсем явно място.
Приложенията, маскирани като приложения за споделяне на файлове, астрономия и криптовалута, са хоствали Mandrake - семейство силно агресивен зловреден софтуер, за който фирмата за сигурност Bitdefender призова през 2020 г. От Bitdefender заявиха, че приложенията са се появили на две вълни - една през 2016 г. до 2017 г. и отново през 2018 г. до 2020 г. Способността на Mandrake да остане незабелязана тогава е била резултат от някои необичайно строги стъпки за избягване на засичане. Те включват:
Не работи в 90 държави, включително тези от бившия Съветски съюз.
Доставя крайния си полезен товар само на жертви, които са били изключително конкретно избрани.
Съдържа превключвател, който разработчиците са нарекли сепуку (японска форма на ритуално самоубийство) и който напълно заличава всички следи от зловредния софтуер.
Напълно функционални приложения примамки в категории, включващи финанси, автомобили и превозни средства, видеоплейъри и редактори, изкуство и дизайн и производителност.
Бързи поправки на грешки, докладвани в коментарите.
Притискане на TLS сертификати за прикриване на комуникациите със сървърите за командване и контрол.
Bitdefender оценява броя на жертвите на десетки хиляди за вълната от 2018 до 2020 г. и "вероятно на стотици хиляди през целия 4-годишен период".
След доклада на Bitdefender за 2020 г. заразените с Mandrake приложения сякаш изчезнаха от Google Play. Сега фирмата за сигурност Kaspersky съобщи, че приложенията са се появили отново през 2022 г. и са останали незабелязани досега. Освен новия кръг от приложения примамки операторите на Mandrake въведоха и няколко мерки за по-добро прикриване на зловредното си поведение, избягване на аналитичните методи, използвани от изследователите за идентифициране и изучаване на зловреден софтуер, и борба със защитите от зловреден софтуер, въведени през последните години.
"Шпионският софтуер Mandrake се развива динамично, подобрявайки методите си за прикриване, заобикаляне на пясъчниците и заобикаляне на новите защитни механизми", пишат изследователите на Kaspersky Татяна Шишкова и Игор Головин. "След като приложенията на първата кампания останаха неоткрити в продължение на четири години, сегашната кампания се криеше в сенките в продължение на две години, докато все още беше достъпна за изтегляне в Google Play. Това подчертава огромните умения на участниците в заплахите, както и че по-строгият контрол на приложенията преди публикуването им на пазарите води само до промъкване на по-сложни и по-трудни за откриване заплахи в официалните пазари за приложения."
Ключова характеристика на последното поколение Mandrake са множество слоеве на замаскиране, предназначени да предотвратят анализа от страна на изследователите и да заобиколят процеса на проверка, който Google Play използва за идентифициране на злонамерени приложения. И петте открити от Kaspersky приложения се появяват за първи път в платформата през 2022 г. и остават налични поне една година. Последното приложение е актуализирано на 15 март и е премахнато от пазара на приложения по-късно същия месец.
Към началото на този месец нито едно от приложенията не е било засечено като злонамерено от нито един голям доставчик на услуги за откриване на зловреден софтуер.
Снимка: Unsplash
Виж още: HUAWEI WATCH 4 Pro Space Edition – вече всеки може да бъде астронавт (РЕВЮ)