Вариант шпионской программы Mandrake обходит защиту Google Play в течение двух лет

Исследователи "Касперского" обнаружили новую версию печально известной шпионской программы Mandrake, раскрыв передовые методы обфускации, которые позволили ей обойти проверки безопасности Google Play и оставаться незамеченной в течение двух лет.

Впервые обнаруженная в 2020 году, программа Mandrake была активной платформой для шпионажа на Android как минимум с 2016 года. Последний вариант, обнаруженный в апреле 2024 года, демонстрирует расширенную функциональность и возможности уклонения, что вызывает опасения у экспертов по кибербезопасности.

Новые образцы Mandrake используют несколько передовых техник, чтобы избежать обнаружения:

• перенос вредоносных функций в обфусцированные нативные библиотеки с помощью OLLVM.
• Реализация привязки сертификатов для безопасной связи с серверами командования и управления (C2).
• Проведение обширных проверок для обнаружения рутированных устройств или эмулированных сред.

Татьяна Шишкова, ведущий научный сотрудник отдела глобальных исследований и анализа Касперского (GReAT), прокомментировала:

"После того, как в первых версиях программа ускользала от обнаружения в течение четырех лет, последняя версия Mandrake оставалась незамеченной в Google Play еще два года.

Это свидетельствует о высокой квалификации участников угроз. Это также подчеркивает тревожную тенденцию: по мере ужесточения ограничений и ужесточения проверок безопасности растет изощренность угроз, проникающих в официальные магазины приложений, что делает их более сложными для обнаружения".

В ходе расследования "Касперского" было обнаружено пять приложений, содержащих шпионскую программу Mandrake, которые в совокупности набрали более 32 000 загрузок. Все эти приложения, опубликованные в Google Play в 2022 году, были доступны не менее года и маскировались под легитимные приложения:

• приложение для обмена файлами через Wi-Fi
• Приложение для астрономических услуг
• Игра "Янтарь для Геншина".
• Криптовалютное приложение
• Приложение для логических головоломок.

По состоянию на июль 2024 года ни одно из этих приложений не было отмечено как вредоносное ни одним поставщиком на VirusTotal, что свидетельствует об эффективности методов обфускации Mandrake.

Хотя вредоносные приложения больше не доступны в Google Play, они были широко распространены в разных странах. Большинство загрузок пришлось на Канаду, Германию, Италию, Мексику, Испанию, Перу и Великобританию.

Устойчивый характер угрозы Mandrake проявляется в сходстве между текущей и предыдущими кампаниями. Исследователи Kaspersky отметили, что домены C2 были зарегистрированы в России, что позволило им с большой долей уверенности заключить, что за последней кампанией стоит тот же самый угрожающий агент, который был идентифицирован в первоначальном отчете Bitdefender об обнаружении.