一个复杂的Android间谍软件的新版本叫做Mandrake在5个可从Google Play商店下载的应用程序中被发现,两年来一直未被发现。
卡巴斯基在周一的一篇文章中说,这些应用程序在从应用程序商店下架之前,总共吸引了超过32,000个安装。大部分下载来自加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国。
研究人员Tatyana Shishkova和Igor Golovin说:新的样本包括新的模糊和规避技术层,例如将恶意功能转移到模糊的本地库,使用C2通信的证书钉钉,以及执行广泛的测试来检查曼德拉草是否在根设备上运行或在仿真环境中运行说.
Mandrake首次记录由罗马尼亚网络安全供应商Bitdefender在2020年5月,描述了其蓄意感染少数设备的方法,同时设法潜伏在阴影自2016年以来。恶意软件尚未归于威胁行为者或组织。
更新后的变体的特点是使用OLLVM为了隐藏主要功能,同时还包含了一系列沙箱规避和反分析技术,以防止代码在恶意软件分析师操作的环境中执行。
含有的应用程序列表如下-
- AirFS (com.airft.ftrnsfr)
- Amber(com.Shpr.sght)
- Astro Explorer (com.astro.dscvr)
- Brain Matrix(com. Brnmeth. mtrx)
- CryptoPulsing (com.cryptopulsing.browser)
这些应用程序分为三个阶段:一个滴管,在从命令与控制(C2)服务器下载并解密恶意软件的核心组件后,启动一个加载器,负责执行恶意软件的核心组件。
第二阶段有效载荷还能够收集有关设备的连接状态、安装的应用程序、电池百分比、外部IP地址和当前Google Play版本的信息。此外,它可以擦除核心模块,并请求权限绘制覆盖和运行在后台。
第三阶段支持附加命令,在WebView中加载特定URL,启动远程屏幕共享会话,并记录设备屏幕,目的是窃取受害者的凭证并投放更多恶意软件。
研究人员说:“Android 13引入了‘限制设置’功能,禁止旁瓣应用程序直接请求危险权限。”为了绕过这个特性,Mandrake使用'session-based' 包安装程序."
这家俄罗斯安全公司将Mandrake描述为一个动态演变的威胁的例子,它不断改进其谍报技术,以绕过防御机制,逃避侦查。
报告称:“这突显出威胁行为者的强大技能,同时也表明,对应用程序在发布到市场之前进行更严格的控制,只会转化成更复杂、更难察觉的威胁潜入官方应用程序市场。”
发表评论