Новая версия шпионского троянца Mandrake два года распространялась через Google Play
Чем опасен. Mandrake позволяет атакующим красть учётные данные с заражённых устройств, незаметно делать запись экрана смартфона и транслировать злоумышленникам происходящее на экране жертвы в режиме реального времени, чтобы они могли выполнять действия вместо пользователя, например нажимать на кнопки. Кроме того, троянец может загружать на девайс другие зловреды.
Чем прикрывается. Новая версия зловреда распространялась под видом приложения для отслеживания курса криптовалют, а также двух игр, астрономического сервиса, посвящённого теме космоса, и файлообменника. Больше всего скачиваний набрал фальшивый файлообменник — более 30 тысяч. В отзывах люди писали, что программа не работает либо крадёт данные на устройстве.
Как прячется. Основное отличие новой версии Mandrake в том, что злоумышленники внедрили дополнительные технологии запутывания кода (обфускации) и затруднения анализа, чтобы обойти модерацию в Google Play и усложнить анализ зловреда. Более того, Mandrake умеет проверять устройство, на котором запущен, на наличие индикаторов известных песочниц, а также инструментов отладки, определять страну пользователя и его мобильного оператора, «видеть» набор установленных приложений. Троянец загружает на устройство и запускает основной вредоносный модуль с командного сервера только в том случае, если владелец смартфона по набору признаков оказывается интересным для атакующих.
«Mandrake активен с 2016 года, ранее этот троянец уже находили в Google Play. Его новая версия отличается высокой сложностью с технической точки зрения. Обнаруженная нами кампания демонстрирует — несмотря на меры, которые принимаются, чтобы предотвратить проникновение зловредов в официальный стор, к сожалению, злоумышленники находят пути обхода модерации. При этом обнаруживать такие зловреды достаточно сложно», — комментирует Татьяна Шишкова, ведущий эксперт по кибербезопасности в «Лаборатории Касперского».