Phần mềm gián điệp Mandrake mới được tìm thấy trong các ứng dụng của Google Play Store sau hai năm
Một phiên bản mới của phần mềm gián điệp Android tinh vi có tên Mandrake đã được phát hiện trong năm ứng dụng có thể tải xuống từ Cửa hàng Google Play và không bị phát hiện trong hai năm.
Kaspersky cho biết trong bài viết hôm thứ Hai rằng các ứng dụng này đã thu hút tổng cộng hơn 32.000 lượt cài đặt trước khi bị xóa khỏi cửa hàng ứng dụng. Phần lớn các lượt tải xuống có nguồn gốc từ Canada, Đức, Ý, Mexico, Tây Ban Nha, Peru và Vương quốc Anh.
"Các mẫu mới bao gồm các lớp kỹ thuật che giấu và né tránh mới, chẳng hạn như di chuyển chức năng độc hại đến các thư viện gốc đã che giấu, sử dụng ghim chứng chỉ cho giao tiếp C2 và thực hiện một loạt các thử nghiệm để kiểm tra xem Mandrake có đang chạy trên thiết bị đã root hay trong môi trường mô phỏng hay không", các nhà nghiên cứu Tatyana Shishkova và Igor Golovin cho biết.
Mandrake lần đầu tiên được nhà cung cấp an ninh mạng Bitdefender của Romania ghi nhận vào tháng 5 năm 2020, mô tả cách tiếp cận có chủ đích của nó nhằm lây nhiễm một số ít thiết bị trong khi vẫn ẩn núp trong bóng tối kể từ năm 2016. Phần mềm độc hại này vẫn chưa được xác định là do tác nhân hoặc nhóm đe dọa nào gây ra.
Các biến thể được cập nhật được đặc trưng bởi việc sử dụng OLLVM để che giấu chức năng chính, đồng thời kết hợp một loạt các kỹ thuật tránh hộp cát và chống phân tích để ngăn chặn mã được thực thi trong môi trường do các nhà phân tích phần mềm độc hại vận hành.
Danh sách các ứng dụng có chứa Mandrake như sau -
- AirFS (com.airft.ftrnsfr)
- Amber (com.shrp.sght)
- Astro Explorer (com.astro.dscvr)
- Brain Matrix (com.brnmth.mtrx)
- CryptoPulsing (com.cryptopulsing.browser)
Các ứng dụng được đóng gói trong ba giai đoạn: Một trình thả khởi chạy trình tải chịu trách nhiệm thực thi thành phần cốt lõi của phần mềm độc hại sau khi tải xuống và giải mã từ máy chủ chỉ huy và kiểm soát (C2).
Tải trọng giai đoạn thứ hai cũng có khả năng thu thập thông tin về trạng thái kết nối của thiết bị, các ứng dụng đã cài đặt, phần trăm pin, địa chỉ IP bên ngoài và phiên bản Google Play hiện tại. Hơn nữa, nó có thể xóa mô-đun lõi và yêu cầu cấp quyền để vẽ lớp phủ và chạy ở chế độ nền.
Giai đoạn thứ ba hỗ trợ các lệnh bổ sung để tải một URL cụ thể trong WebView và khởi tạo phiên chia sẻ màn hình từ xa cũng như ghi lại màn hình thiết bị với mục tiêu đánh cắp thông tin đăng nhập của nạn nhân và phát tán thêm phần mềm độc hại.
"Android 13 đã giới thiệu tính năng 'Cài đặt hạn chế', tính năng này cấm các ứng dụng được tải từ bên ngoài yêu cầu trực tiếp các quyền nguy hiểm", các nhà nghiên cứu cho biết. "Để bỏ qua tính năng này, Mandrake xử lý cài đặt bằng trình cài đặt gói 'dựa trên phiên'".
Công ty bảo mật của Nga mô tả Mandrake là ví dụ về mối đe dọa đang phát triển năng động, liên tục tinh chỉnh các thủ đoạn của mình để vượt qua các cơ chế phòng thủ và tránh bị phát hiện.
"Điều này làm nổi bật các kỹ năng đáng gờm của những kẻ tấn công, và cũng cho thấy rằng việc kiểm soát chặt chẽ hơn đối với các ứng dụng trước khi được công bố trên thị trường chỉ dẫn đến các mối đe dọa tinh vi hơn, khó phát hiện hơn, xâm nhập vào các thị trường ứng dụng chính thức", báo cáo cho biết.
Khi được yêu cầu bình luận, Google đã nói với The Hacker News rằng họ liên tục củng cố khả năng phòng thủ của Google Play Protect khi các ứng dụng độc hại mới được gắn cờ và họ đang tăng cường khả năng của mình để bao gồm phát hiện mối đe dọa trực tiếp nhằm giải quyết các kỹ thuật che giấu và chống trốn tránh.
"Người dùng Android được Google Play Protect tự động bảo vệ khỏi các phiên bản đã biết của phần mềm độc hại này, được bật theo mặc định trên các thiết bị Android có Dịch vụ Google Play", một phát ngôn viên của Google cho biết. "Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được biết là có hành vi độc hại, ngay cả khi các ứng dụng đó đến từ các nguồn bên ngoài Play".
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Đọc nhanh tài liệu Word với tính năng AI...
Google tung bản vá bảo mật khẩn cấp cho ...
Phần mềm độc hại Android mới NGate đánh ...
Thời đại AI lên ngôi, ảnh chụp không hẳn...
Trung tâm siêu dữ liệu đang được Google ...
Google cảnh báo về lỗ hổng bảo mật CVE-2...
- Thông báo nghỉ lễ Quốc Khánh 2024
- NTS trao 150 quà tặng cho các em học sinh vượt khó...
- Tuần lễ An ninh mạng Châu Á - Thái Bình Dương 2024...
- Kaspersky nêu bật những thách thức của AI trong th...
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Google tung bản vá bảo mật khẩn cấp cho 4 lỗi bảo ...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Thông báo nghỉ lễ Quốc Khánh 2024
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Google tung bản vá bảo mật khẩn cấp cho 4 lỗi bảo ...
- Phần mềm độc hại Android mới NGate đánh cắp dữ liệ...