Richard Zliechovský
30. júla 2024

Do Google Play sa vrátil spyware Mandrake. Cez tieto aplikácie infikoval desaťtisíce telefónov. Nitky vedú do Ruska

Bezpečnostní experti hlásia, že sa vrátil malvér Mandrake. Ten ostal v Google Play nepozorovaný veľmi dlhú dobu.

hacker rusko
Zdroj: JC Gellidon z Unsplash a Jaydeep Joshi z Pixabay, koláž Vosveteit.sk

Bezpečnostní experti zo Securelist varujú pred známym spywarom Mandrake, ktorý sa opäť po čase dostal na platformu Google Play. Ide o mimoriadne sofistikovaný špionážny softvér, ktorý sa dokázal vyhnúť odhaleniu celé dva roky.  

Mandrake útočil už v minulosti. Bezpečnostní analytici podali o tomto špionážnom softvéri správu v roku 2020 a tento malvér bol aktívnym minimálne štyri roky. Novú vzorku škodlivého softvéru výskumníci objavili v apríli tohto roku. Hlbšia analýza odhalila až päť škodlivých aplikácií, ktoré na platforme Google Play existovali od roku 2022 až do 2024.  

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Dokopy mali aplikácie viac ako 32-tisíc inštalácií, pričom ich nedokázal odhaliť žiaden obchod s aplikáciami vrátane Google Play. Bezpečnostní experti pozorovali nové funkcie na zakrytie škodlivej činnosti a nové metódy, s pomocou ktorých sa malvér vyhýbal bezpečnostným nástrojom. Popri tom malvér Mandrake vykonal niekoľko rôznych testov, aby zistil, či sa nachádza na reálnom zariadení alebo v simulovanom virtuálnom prostredí.  

“Pôvodná kampaň malvéru Mandrake prebiehala v dvoch hlavných vlnách. Prvá prebehla medzi rokmi 2016 až 2017 a druhá prebiehala od 2018 do 2020. Po vydaní správy popisujúcej tento malvér si bezpečnostní experti všimli ešte jednu falošnú aplikáciu, ktorá bola dostupná v Obchode play,” píšu bezpečnostní analytici.

titulka spyware
Zdroj: Pixabay.com, Unsplash (Alexander Krivitskiy), Úprava: Vosveteit.sk

Následne až v roku 2024 odhalili vedci novú aplikáciu, ktorá sa ukázala byť novou verziou spywaru Mandrake. Táto nová verzia mala niekoľko ďalších metód, ako sa vyhnúť bezpečnostným kontrolám Obchodu play a ako zabrániť tomu, aby bezpečnostní experti malvér analyzovali.  

V rámci novej vlny výskumníci odhalili päť aplikácií, ktoré obsahovali spyware Mandrake. Vo všetkých prípadoch sa do ponuky Obchodu play dostali aplikácie v roku 2022. Najnovšia aplikácia dostala poslednú aktualizáciu 15. marca 2024, no krátko na to bola z obchodu odstránená. Dokopy mali aplikácie viac ako 32-tisíc inštalácií.  

AirFS 

Výskumníci sa v rámci analýzy malvéru zamerali na podvodnú aplikáciu AirFS, ktorá sa hrala na posielanie súborov cez Wi-Fi. Ide o najväčšiu aplikáciu spomedzi odhalených aplikácií (tieto aplikácie boli rovnako infikované Astro Explorer, Amber, CryptoPulsing, Brain Matrix či AI Scanner – Free PDF Scanner OCR) a sama má cez 30-tisíc stiahnutí. Práve táto aplikácia dostala poslednú aktualizáciu pred pár mesiacmi. Užívatelia na platforme Google Play rýchlo zistili, že aplikácia nefunguje tak ako má a navyše zasahuje hlboko do ich súkromia.  

Malvér Mandrake opäť udiera. Tentokrát ostal v tieňoch dva roky
Zdroj: Securelist

Po stiahnutí aplikácie spyware Mandrake vyšle príkaz na hackerské servery, cez ktoré stiahne odlišný APK súbor. Na zariadení užívateľa sa zobrazí notifikácia, ktorá sa podobá na notifikáciu z Obchodu Play. Kliknutím na ňu sa začína inštalačný proces.  

Bezpečnostní analytici vysvetľujú, že ciele spywaru sa od poslednej kampane nezmenili. Čo sa však zmenilo, je komplexnosť kódu a rôzne kontroly, ktoré malvér vykonáva.  

“Zdá sa, že vývojári spywaru Mandrake robia všetko preto, aby zabránili tomu, aby malvér bežal v simulovanom prostredí, ktoré používajú malvéroví analytici,” tvrdia experti zo Securelist.

Nitky vedú do Ruska

Analýza ukázala, že hackerské C2 servery sú registrované v Rusku. S najväčšou pravdepodobnosťou teda za malvérom stojí rovnaká skupina ako v predchádzajúcich útokoch. Malvér Mandrake je dostupný po celom svete, no najviac stiahnutí bolo z Kanady, Nemecka, Talianska, Mexika, Španielska, Peru a Spojeného kráľovstva.

Android zariadenia majú slabinu, kvôli ktorej sa pre nich malvér stane neviditeľný
Zdroj: Pixabay (clary2014, geralt), Bing Image Creator, Úprava: Vosveteit.sk

Obchody potrebujú lepšie bezpečnostné praktiky

Bezpečnostní analytici vysvetľujú, že spyware Mandrake sa dynamicky vyvíja a kyberzločinci vylepšujú jeho schopnosť ostať neodhaleným, rozpoznať sandbox prostredie a vyhnúť sa bezpečnostným mechanizmom. Pôvodná škodlivá aplikácia sa dokázala vyhnúť odhaleniu 4 roky a nová kampaň prebiehala nepozorovane 2 roky. 

To poukazuje na to, že vývojári tohto spywaru majú naozaj obrovské skúsenosti. Bezpečnostní experti vysvetľujú, že kampane ako je táto ukazujú, že obchody s aplikáciami musia mať oveľa prísnejšie pravidlá na schvaľovanie aplikácií, ktoré sa objavia na platformách ako napríklad Google Play.  

Sleduj našu novú Facebook stránku a pridaj sa!

Komentáre