在 Google Play 上的五个应用程序中发现了 Mandrake Android 间谍软件的新版本,自 2022 年以来,这些应用程序的下载量已超过 32,000 次。 卡巴斯基的研究人员在 Google Play 上的五个应用程序中发现了 Mandrake Android 间谍软件的新版本,在 2022 年至 2024 年期间总共下载了超过 32,000 次。 Bitdefender 的研究人员在 2022 年发现了高度复杂的 Android 间谍软件 Mandrake,同时调查针对特定设备的高度针对性攻击。最初的曼德拉草运动在2016-2017年和2018-2020年经历了两次主要的感染浪潮。 Mandrake 允许攻击者完全控制受感染的设备并泄露敏感数据,它还实现了终止开关功能(一种称为切腹(日本仪式自杀形式)的特殊命令),可以擦除所有受害者的数据并且不留任何恶意软件的痕迹。 2024 年 4 月,卡巴斯基在 Google Play 上发现了 Mandrake 间谍软件的新版本,研究人员强调,该间谍软件未被其他供应商检测到,并采用了先进的混淆和规避技术。其中包括将恶意函数重新定位到经过混淆的本机库,使用证书固定来保护 C2 通信,并确定它是在有根设备上运行还是在模拟环境中运行。 “2024 年 4 月,我们发现了一个可疑样本,原来是曼德拉草的新版本。新的 Mandrake 变体的主要区别特征是旨在绕过 Google Play 检查和妨碍分析的混淆层。我们发现了五个包含 Mandrake 的应用程序,总下载量超过 32,000 次,“卡巴斯基发布的报告写道。“所有这些都于 2022 年在 Google Play 上发布,并保持至少一年的可用性。最新的应用程序最后更新于 2024 年 3 月 15 日,并于当月晚些时候从 Google Play 中删除。根据 VirusTotal 的数据,截至 2024 年 7 月,没有任何供应商将这些应用程序检测为恶意软件。