五款恶意软件在Google Play中潜伏两年,已感染32000台设备
2024-7-31 17:55:35 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

7月29日,卡巴斯基新发布了一份关于间谍软件Mandrake的研究报告,称Mandrake改进了多种沙盒规避及反分析技术,并藏身于五款恶意应用之中在Google Play上潜伏了两年,目前已经感染了约32000台设备。

据了解,Mandrake是一种复杂的Android间谍软件,最先由Bitdefender在2020年发现并进行详细分析。它的设计目的是通过伪装成合法应用程序来感染用户设备,并进行数据窃取。2024年4月,卡巴斯基发现了一个可疑样本,并认为其是Mandrake的最新版本。这个新样本拥有新的混淆和规避技术,例如将恶意功能移动到混淆的本机库中,使用证书固定进行 C2 通信,并执行一系列测试来检查 Mandrake 是在 root 设备上运行还是在模拟环境中运行。

Mandrake的工作机制分为如下几个阶段:

1. 初始感染:恶意代码隐藏在本地库中,使用混淆技术来避免检测。

2. 数据收集:一旦感染,Mandrake能够收集设备信息、记录屏幕、模拟用户操作等。

3. 命令与控制:通过与C2服务器的通信,Mandrake可以接收进一步的恶意指令。

根据Kaspersky的报告,包含Mandrake的应用程序有AirFS(一款文件共享应用)、Amber、Astro Explorer、Brain Matrix、CryptoPulsing。

VirusTotal的数据显示,截至 2024 年 7 月,没有任何供应商将这些应用程序检测为恶意软件。这些应用在Google Play上潜伏了两年,目前已被删除。其中大多数下载来自加拿大、德国、意大利等国家。

Google表示,他们在不断增强Google Play Protect的功能,以应对新出现的恶意软件。用户可以通过此工具获得实时的威胁检测和警告。为了保护自己,建议用户最好采取以下措施:

① 只从可信来源下载应用:确保应用程序来自知名开发者。

② 定期检查应用权限:避免授予与应用功能无关的权限。

③ 启用Google Play Protect:确保此功能处于启用状态,以便自动检测并阻止已知的恶意软件。

报告原文:https://securelist.com/mandrake-apps-return-to-google-play/113147/

编辑:左右里

资讯来源:securelist

转载请注明出处和本文链接



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458565420&idx=2&sn=e1f0a04683ce55c586974d1f409b30ef&chksm=b18d8ba686fa02b0ae5281faed4608ea1ae193352e4e327660a2c5f6250e2ce8c0a360046bf9&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh