Cercetătorii de la Kaspersky au descoperit o nouă campanie de spyware care utilizează malware-ul Mandrake, distribuit prin intermediul Google Play. Ascuns sub forma unor aplicații aparent legitime, acest malware a infectat peste 32.000 de dispozitive. Campania a rămas nedetectată timp de doi ani, datorită tehnicilor avansate de camuflaj utilizate de hackeri.
Mandrake a fost identificat pentru prima dată de Bitdefender în 2020, fiind descris ca un spyware Android sofisticat, activ încă din 2016. În aprilie 2024, Kaspersky a descoperit un nou eșantion, sugerând o versiune actualizată a Mandrake cu funcționalități îmbunătățite.
Principalele caracteristici ale noii variante Mandrake includ:
- Mutarea funcționalităților rău intenționate în biblioteci native: Aceasta îngreunează detectarea de către sistemele de securitate.
- Utilizarea fixării certificatelor: Asigură comunicarea securizată cu serverele C2 (Command and Control), prevenind interceptarea datelor.
- Teste avansate: Malware-ul efectuează o serie de teste pentru a verifica dacă rulează pe un dispozitiv real sau într-un mediu virtualizat, complicând astfel analiza acestuia.
Cercetătorii Kaspersky au identificat cinci aplicații pe Google Play care conțineau spyware-ul Mandrake, toate disponibile pentru descărcare timp de cel puțin un an. Aceste aplicații sunt:
- AirFS (com.airft.ftrnsfr)
- Amber (com.shrp.sght)
- Astro Explorer (com.astro.dscvr)
- Brain Matrix (com.brnmth.mtrx)
- CryptoPulsing (com.cryptopulsing.browser)
Descoperirea acestei campanii de spionaj digital subliniază importanța vigilenței și a măsurilor de securitate avansate în protejarea dispozitivelor mobile. Utilizatorii sunt sfătuiți să fie extrem de precauți atunci când descarcă aplicații, chiar și din surse aparent sigure precum Google Play, și să mențină întotdeauna actualizate soluțiile de securitate pe dispozitivele lor.