7月29日,卡巴斯基新发布了一份关于间谍软件Mandrake的研究报告,称Mandrake改进了多种沙盒规避及反分析技术,并藏身于五款恶意应用之中在Google Play上潜伏了两年,目前已经感染了约32000台设备。
据了解,Mandrake是一种复杂的Android间谍软件,最先由Bitdefender在2020年发现并进行详细分析。它的设计目的是通过伪装成合法应用程序来感染用户设备,并进行数据窃取。2024年4月,卡巴斯基发现了一个可疑样本,并认为其是Mandrake的最新版本。这个新样本拥有新的混淆和规避技术,例如将恶意功能移动到混淆的本机库中,使用证书固定进行 C2 通信,并执行一系列测试来检查 Mandrake 是在 root 设备上运行还是在模拟环境中运行。
Mandrake的工作机制分为如下几个阶段:
1. 初始感染:恶意代码隐藏在本地库中,使用混淆技术来避免检测。
2. 数据收集:一旦感染,Mandrake能够收集设备信息、记录屏幕、模拟用户操作等。
3. 命令与控制:通过与C2服务器的通信,Mandrake可以接收进一步的恶意指令。
根据Kaspersky的报告,包含Mandrake的应用程序有AirFS(一款文件共享应用)、Amber、Astro Explorer、Brain Matrix、CryptoPulsing。
VirusTotal的数据显示,截至 2024 年 7 月,没有任何供应商将这些应用程序检测为恶意软件。这些应用在Google Play上潜伏了两年,目前已被删除。其中大多数下载来自加拿大、德国、意大利等国家。
Google表示,他们在不断增强Google Play Protect的功能,以应对新出现的恶意软件。用户可以通过此工具获得实时的威胁检测和警告。为了保护自己,建议用户最好采取以下措施:
① 只从可信来源下载应用:确保应用程序来自知名开发者。
② 定期检查应用权限:避免授予与应用功能无关的权限。
③ 启用Google Play Protect:确保此功能处于启用状态,以便自动检测并阻止已知的恶意软件。
报告原文:https://securelist.com/mandrake-apps-return-to-google-play/113147/
﹀
球分享
球点赞
球在看