Κακόβουλο λογισμικό κρυβόταν σε εφαρμογές του Google Play και μόλυνε συσκευές για δύο χρόνια
Οι ερευνητές ασφαλείας έριξαν φως σε μια νέα παραλλαγή του εξελιγμένου κακόβουλου λογισμικού Mandrake που χρησιμοποιείτε για την κυβερνοκατασκοπεία σε Android συσκευές. Σύμφωνα με ανάλυση από το Bitdefender τον Μάιο του 2020, το Mandrake λειτουργούσε απαρατήρητο για τουλάχιστον τέσσερα χρόνια.
Τον Απρίλιο του 2024, οι ερευνητές της Kaspersky ανακάλυψαν ύποπτα δείγματα που επιβεβαιώθηκαν ότι ήταν μια νέα έκδοση του Mandrake. Αυτή η τελευταία παραλλαγή κρύφτηκε μέσα σε πέντε εφαρμογές στο Google Play από το 2022 έως το 2024, συγκεντρώνοντας πάνω από 32.000 λήψεις ενώ παρέμεινε απαρατήρητη από άλλους προμηθευτές κυβερνοασφάλειας.
Τα ενημερωμένα δείγματα κακόβουλου λογισμικού Mandrake, που περιγράφονται σε μια συμβουλευτική που δημοσιεύτηκε από την Kaspersky, εμφάνιζαν ενισχυμένες τακτικές συσκότισης και φοροδιαφυγής. Οι βασικές αλλαγές περιελάμβαναν τη μετακίνηση κακόβουλων λειτουργιών σε σκοτεινές εγγενείς βιβλιοθήκες, τη χρήση καρφιτσώματος πιστοποιητικών για ασφαλείς επικοινωνίες με διακομιστές εντολών και ελέγχου (C2) και την εφαρμογή διαφόρων δοκιμών για την αποφυγή εντοπισμού σε συσκευές με root ή εξομοίωση.
Αυτές οι εφαρμογές φέρεται να παρέμειναν στο Google Play για έως και δύο χρόνια, με την εφαρμογή με τις περισσότερες λήψεις, το AirFS, να συγκεντρώνει πάνω από 30.000 εγκαταστάσεις πριν από την κατάργησή της τον Μάρτιο του 2024.
Εξελιγμένη Αλυσίδα Μολύνσεων
Από τεχνική άποψη, η νέα έκδοση Mandrake λειτουργεί μέσω μιας αλυσίδας μόλυνσης πολλαπλών σταδίων. Αρχικά, η κακόβουλη δραστηριότητα είναι κρυμμένη σε μια εγγενή βιβλιοθήκη, γεγονός που καθιστά πιο δύσκολη την ανάλυση σε σύγκριση με προηγούμενες καμπάνιες όπου το πρώτο στάδιο ήταν στο αρχείο DEX.
Κατά την εκτέλεση, η βιβλιοθήκη πρώτου σταδίου αποκρυπτογραφεί και φορτώνει το δεύτερο στάδιο, το οποίο στη συνέχεια ξεκινά την επικοινωνία με τον διακομιστή C2. Εάν κριθεί σχετικό, ο διακομιστής C2 δίνει εντολή στη συσκευή να κατεβάσει και να εκτελέσει το βασικό κακόβουλο λογισμικό, το οποίο έχει σχεδιαστεί για να κλέβει τα διαπιστευτήρια χρήστη και να αναπτύσσει πρόσθετες κακόβουλες εφαρμογές.
Οι τεχνικές αποφυγής του Mandrake έχουν γίνει πιο εξελιγμένες, προειδοποίησε η Kaspersky, ενσωματώνοντας ελέγχους για περιβάλλοντα εξομοίωσης, ριζωμένες συσκευές και την παρουσία εργαλείων αναλυτών. Αυτές οι βελτιώσεις καθιστούν δύσκολο για τους ειδικούς στον τομέα της κυβερνοασφάλειας να ανιχνεύσουν και να αναλύσουν το κακόβουλο λογισμικό.
Συγκεκριμένα, οι παράγοντες απειλών πίσω από το Mandrake χρησιμοποίησαν επίσης μια νέα προσέγγιση στην κρυπτογράφηση και την αποκρυπτογράφηση δεδομένων, χρησιμοποιώντας έναν συνδυασμό προσαρμοσμένων αλγορίθμων και τυπικής κρυπτογράφησης AES.
«Το spyware Mandrake εξελίσσεται δυναμικά, βελτιώνοντας τις μεθόδους απόκρυψης, την αποφυγή του sandbox και παρακάμπτοντας νέους αμυντικούς μηχανισμούς. Αφού οι εφαρμογές της πρώτης καμπάνιας παρέμειναν απαρατήρητες για τέσσερα χρόνια, η τρέχουσα καμπάνια παρέμεινε στη σκιά για δύο χρόνια, ενώ ήταν ακόμα διαθέσιμη για λήψη στο Google Play», εξήγησε η Kaspersky.
«Αυτό υπογραμμίζει τις τρομερές δεξιότητες των παραγόντων απειλών και επίσης ότι οι αυστηρότεροι έλεγχοι για εφαρμογές πριν από τη δημοσίευσή τους στις αγορές μεταφράζονται μόνο σε πιο εξελιγμένες, πιο δύσκολο να εντοπιστούν απειλές που εισχωρούν κρυφά στις επίσημες αγορές εφαρμογών».
