Android casus yazılım 'Mandrake'in yeni bir sürümü, platformun resmi uygulama mağazası Google Play'den 32.000 kez indirilen beş uygulamada bulundu.
Bitdefender ilk olarak 2020'de Mandrake'i belgeledi, araştırmacılar kötü amaçlı yazılımların sofistike casusluk yeteneklerini vurguladı ve en az 2016'dan beri vahşi doğada faaliyet gösterdiğini belirtti.
Kaspersky şimdi, 2022'de mağazaya gönderilen beş uygulama aracılığıyla Google Play'e daha iyi gizleme ve kaçırma özelliğine sahip yeni bir Mandrake varyantının olduğunu bildirdi.
Bu uygulamalar en az bir yıl boyunca mevcutken, popülerlik ve enfeksiyonlar açısından en başarılı olan Airfs, Mart 2024 sonunda kaldırıldı.
Kaspersky, beş Mandrake taşıyan uygulamayı aşağıdaki gibi tanımladı:
Siber güvenlik firması, çoğu indirmenin Kanada, Almanya, İtalya, Meksika, İspanya, Peru ve İngiltere'den geldiğini söylüyor.
Uygulamanın DEX dosyasına kötü niyetli mantığı yerleştiren tipik Android kötü amaçlı yazılımların aksine, Mandrake, OLLVM kullanarak ağır bir şekilde gizlenen bir ana kütüphane olan 'libopencv_dnn.so' da ilk aşamasını gizler.
Kötü niyetli uygulamanın kurulumu üzerine kütüphane, ikinci aşamalı yükleyici DEX'i varlık klasöründen şifresini çözme ve belleğe yükleme işlevi görür.
İkinci aşama, komut ve kontrol (C2) sunucusu ile güvenli iletişim için bir sertifikayı şifresini çözen ikinci bir ana kütüphane olan 'Libopencv_java3.so' olarak kapanan ve yükleme iznleri talep eder.
C2 ile iletişim kurduktan sonra, uygulama bir cihaz profili gönderir ve uygun görülürse çekirdek mandrake bileşenini (üçüncü aşama) alır.
Çekirdek bileşen etkinleştirildikten sonra, Mandrake casus yazılımı, veri toplama, ekran kaydı ve izleme, komut yürütme, kullanıcı kaydırma ve muslukların simülasyonu, dosya yönetimi ve uygulama yüklemesi gibi çok çeşitli kötü amaçlı etkinlikler gerçekleştirebilir.
Özellikle, tehdit aktörleri, kullanıcıları görünüşte güvenilir bir süreçle güvenli olmayan dosyalar yüklemeye kandırmayı umarak Google Play'i taklit eden bildirimler görüntüleyerek kullanıcıları daha fazla kötü amaçlı APKS yüklemeye teşvik edebilir.
Kaspersky, kötü amaçlı yazılımın, Android 13'lerin (ve daha sonra) APK'ların gayri resmi kaynaklardan kurulumunda kısıtlamaları atlamak için oturum tabanlı kurulum yöntemini kullandığını söylüyor.
Diğer Android kötü amaçlı yazılımlar gibi, Mandrake de kullanıcıdan arka planda çalışması ve Droper uygulamasının, kurbanın cihazındaki simgesini gizlice çalıştırma izni vermesini isteyebilir.
Kötü amaçlı yazılımın en son sürümü, özellikle güvenlik analistleri arasında popüler olan dinamik bir enstrümantasyon araç seti olan Frida'nın varlığını kontrol eden Batter Cascasing'e de sahiptir.
Ayrıca cihaz kök durumunu kontrol eder, onunla ilişkili belirli ikili dosyaları arar, sistem bölümünün salt okunur olarak monte edilip edilmediğini ve cihazda geliştirme ayarlarının ve ADB'nin etkinleştirilip etkinleştirilmediğini kontrol eder.
Mandrake tehdidi hayatta kalır ve Kaspersky tarafından Droppers olarak tanımlanan beş uygulama artık Google Play'de mevcut olmasa da, kötü amaçlı yazılım yeni, tespit edilmesi zor uygulamalarla geri dönebilir.
Android kullanıcılarına yalnızca saygın yayıncılardan uygulama yüklemeleri, yüklemeden önce kullanıcı yorumlarını kontrol etmeniz, bir uygulamanın işleviyle ilgisi olmayan riskli izinler için taleplerden kaçının ve Play Protect'in her zaman aktif olduğundan emin olmaları önerilir.
Google, Google Play'de bulunan kötü amaçlı uygulamalar hakkında aşağıdaki ifadeyi paylaştı.
Google, "Google Play Protect, tanımlanan her uygulama ile sürekli olarak gelişiyor. Gizleme ve kötü niyetli tekniklerle mücadele etmeye yardımcı olmak için yaklaşan canlı tehdit tespiti de dahil olmak üzere her zaman yeteneklerini artırıyoruz."
"Android kullanıcıları, Google Play Hizmetleri ile Android cihazlarda varsayılan olarak açık olan Google Play Protect tarafından bu kötü amaçlı yazılımların bilinen sürümlerine karşı otomatik olarak korunur. Google Play Protect, bu uygulamalar geldiğinde bile kötü niyetli davranışlar sergilediği bilinen kullanıcıları veya uygulamaları engelleyebilir. Oyun dışındaki kaynaklardan. "
Masif SMS Stealer kampanyası, 113 ülkede Android Cihazları Enfekte
Google Pixel 6 Serisi Telefonlar Fabrika Sıfırlamasından Sonra Tuğla
Yeni Medusa Kötü Yazılım Varyantları Yedi Ülkede Android Kullanıcıları Hedef
Telegram Zero-Day, video olarak kötü niyetli Android APK'ların gönderilmesine izin verdi
Rafel Rat fidye yazılımı saldırılarında modası geçmiş Android telefonları hedefliyor
Kaynak: Bleeping Computer