Необнаруженный вариант известного шпионского ПО для Android, как сообщается, около двух лет был спрятан в магазине приложений Google Play, заразив там десятки тысяч устройств, предупреждают эксперты.
Согласно отчету «Лаборатории Касперского», в апреле 2024 года ее исследователи обнаружили «подозрительный образец», который представлял собой новый вариант ужасного вредоносного ПО Mandrake.
По словам Касперского, благодаря новому образцу команда получила в общей сложности пять приложений для Android, которые были доступны в течение двух лет. В совокупности эти приложения были загружены более 32 000 раз. Они были загружены в 2022 году, причем отдельные приложения были доступны для скачивания «как минимум год», что позволяет предположить, что не все они были доступны одновременно.
Скрыто в приложениях для криптовалют и астрономии
Кроме того, вредоносное ПО скрывалось в приложении для обмена файлами Wi-Fi, приложении астрономического сервиса, игре Amber for Genshin, приложении для криптовалюты и приложении для логических головоломок. «По состоянию на июль 2024 года, по данным VirusTotal, ни одно из этих приложений не было обнаружено ни одним поставщиком как вредоносное ПО», — заключил Касперский, добавив, что с тех пор Google удалил их из своего репозитория приложений.
Мандрагору впервые обнаружили в 2020 году. Тогда аналитики безопасности заявили, что вредоносное ПО, скорее всего, было активно с 2016 года. Это сложное вредоносное ПО, которое крадет конфиденциальную информацию, получает удаленный контроль над устройством и способно вести кейлоггер, делать снимки экрана и извлекать данные с устройств.
В новом варианте использовались передовые методы запутывания и уклонения, которые позволяли ему оставаться незамеченным поставщиками услуг безопасности. Одним из методов является возможность перемещать вредоносные функции в запутанные собственные библиотеки с помощью OLLVM, реализовывать закрепление сертификатов для безопасной связи с серверами управления и контроля (C2), а также выполнять обширное сканирование, чтобы определить, работает ли вредоносное ПО на корневом устройстве или на удаленном компьютере. эмулируемая среда.
Кроме того, вредоносная программа смогла обходить проверки безопасности Google Play.
Ни одно из приложений в настоящее время недоступно в магазине Google Play. Однако больше всего загрузок поступило из Канады, Германии, Италии, Мексики, Испании, Перу и Великобритании.
По мнению Касперского, злоумышленники, скорее всего, имеют российское происхождение, поскольку там зарегистрированы все домены С2.
Больше от TechRadar Pro
