Шпионское ПО для Android 'Mandrake' скрыто в приложениях в Google Play с 2022 года

Новая версия шпионской программы Mandrake для Android была обнаружена в пяти приложениях, загруженных 32 000 раз из Google Play, официального магазина приложений платформы.

Bitdefender впервые задокументировал Mandrake в 2020 году. Исследователи подчеркнули сложные шпионские возможности вредоносной программы и отметили, что она работает в дикой природе по крайней мере с 2016 года.

Теперь «Касперский» сообщает, что новый вариант Mandrake, отличающийся более совершенной обфускацией и уклонением, пробрался в Google Play через пять приложений, представленных в магазине в 2022 году.

Эти приложения оставались доступными как минимум год, а последнее, AirFS, которое было самым успешным с точки зрения популярности и количества заражений, было удалено в конце марта 2024 года.

Касперский определил пять приложений-носителей Мандрагоры следующим образом:

• AirFS - обмен файлами через Wi-Fi от it9042 (30 305 загрузок в период с 28 апреля 2022 года по 15 марта 2024 года)
• Astro Explorer от shevabad (718 загрузок с 30 мая 2022 года по 6 июня 2023 года)
• Amber by kodaslda (19 загрузок в период с 27 февраля 2022 года по 19 августа 2023 года)
• CryptoPulsing by shevabad (790 загрузок с 2 ноября 2022 года по 6 июня 2023 года)
• Brain Matrix от kodaslda (259 загрузок в период с 27 апреля 2022 года по 6 июня 2023 года).

Компания, занимающаяся кибербезопасностью, утверждает, что большинство загрузок приходится на Германию, Италию, Испанию, Канаду, Мексику, Перу и Великобританию.

Уход от обнаружения

В отличие от типичных вредоносных программ для Android, которые помещают вредоносную логику в DEX-файл приложения, Mandrake скрывает свою начальную стадию в нативной библиотеке 'libopencv_dnn.so', которая сильно обфусцирована с помощью OLLVM.

После установки вредоносного приложения библиотека экспортирует функции для расшифровки DEX-загрузчика второго этапа из папки assets и загрузки его в память.

На втором этапе запрашиваются разрешения на отрисовку оверлеев и загружается вторая нативная библиотека, 'libopencv_java3.so', которая расшифровывает сертификат для безопасной связи с командно-контрольным (C2) сервером.

Установив связь с C2, приложение отправляет профиль устройства и получает основной компонент Mandrake (третий этап), если сочтет его подходящим.

После активации основного компонента программа-шпион Mandrake может выполнять широкий спектр вредоносных действий, включая сбор данных, запись и мониторинг экрана, выполнение команд, имитацию движений и касаний пользователя, управление файлами и установку приложений.

Примечательно, что участники угрозы могут побуждать пользователей устанавливать новые вредоносные APK, отображая уведомления, имитирующие Google Play, в надежде обмануть пользователей и заставить их установить небезопасные файлы через, казалось бы, надежный процесс.

По словам Касперского, вредоносная программа также использует метод установки на основе сеанса, чтобы обойти ограничения Android 13 (и более поздних версий) на установку APK из неофициальных источников.

Как и другие вредоносные программы для Android, Mandrake может запросить у пользователя разрешение на работу в фоновом режиме и скрыть иконку приложения-дроппера на устройстве жертвы, работая незаметно.

Последняя версия вредоносной программы также отличается уклонением от теста, теперь она специально проверяет наличие Frida, инструментария динамического инструментария, популярного среди аналитиков безопасности.

Она также проверяет корневой статус устройства, ищет связанные с ним двоичные файлы, проверяет, смонтирован ли системный раздел как доступный только для чтения, и проверяет, включены ли на устройстве настройки разработки и ADB.

Угроза Mandrake по-прежнему жива, и хотя пять приложений, идентифицированных Касперским как дропперы, больше не доступны в Google Play, вредоносная программа может вернуться через новые, более трудно обнаруживаемые приложения.

Пользователям Android рекомендуется устанавливать приложения только от надежных издателей, проверять комментарии пользователей перед установкой, не давать рискованных разрешений, которые кажутся не связанными с функциями приложения, и следить за тем, чтобы Play Protect всегда был активен.

Google поделилась следующим заявлением о вредоносных приложениях, найденных в Google Play.

«Система Google Play Protect постоянно совершенствуется с каждым обнаруженным приложением. Мы постоянно расширяем ее возможности, включая обнаружение угроз в реальном времени, чтобы помочь бороться с обфускацией и методами защиты от вторжения», - сообщили BleepingComputer в Google.

«Пользователи Android автоматически защищаются от известных версий этого вредоносного ПО с помощью функции Google Play Protect, которая по умолчанию включена на устройствах Android с сервисами Google Play. Google Play Protect может предупреждать пользователей или блокировать приложения, известные своим вредоносным поведением, даже если эти приложения поступают из источников за пределами Play».