在五个应用程序中发现了名为 Mandrake 的复杂 Android 间谍软件的新迭代,这些应用程序可从 Google Play 商店下载,并且两年未被发现。卡巴斯基在周一的一篇文章中表示,这些应用程序在从应用商店下架之前总共吸引了超过32,000次安装。大部分下载来自加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国。研究人员Tatyana Shishkova和Igor Golovin说:“新样本包括新的混淆和规避技术层,例如将恶意功能移动到混淆的本地库,使用证书固定进行C2通信,以及执行各种测试以检查Mandrake是在有根设备上运行还是在模拟环境中运行。罗马尼亚网络安全供应商 Bitdefender 于 2020 年 5 月首次记录了 Mandrake,描述了自 2016 年以来其故意感染少数设备的方法,同时设法潜伏在阴影。更新后的变体的特点是使用 OLLVM 来隐藏主要功能,同时还结合了一系列沙盒规避和反分析技术,以防止代码在恶意软件分析师操作的环境中执行。包含 Mandrake 的应用程序列表如下 –AirFS (com.airft.ftrnsfr)琥珀色 (com.shrp.sght)Astro 浏览器 (com.astro.dscvr)脑矩阵 (com.brnmth.mtrx)加密脉冲 (com.cryptopulsing.browser)这些应用程序分为三个阶段:一个滴管,在从命令和控制 (C2) 服务器下载和解密恶意软件后,启动负责执行恶意软件核心组件的加载程序。第二阶段有效载荷还能够收集有关设备的连接状态、已安装的应用程序、电池百分比、外部 IP 地址和当前 Google Play 版本的信息。此外,它可以擦除核心模块并请求权限以绘制覆盖层并在后台运行。第三阶段支持其他命令,用于在 WebView 中加载特定 URL,并启动远程屏幕共享会话,以及录制设备屏幕,目的是窃取受害者的凭据并丢弃更多恶意软件。研究人员说:“Android 13 引入了’受限设置’功能,该功能禁止侧载应用程序直接请求危险权限。“为了绕过此功能,Mandrake 使用’基于会话’的包安装程序处理安装。”这家俄罗斯安全公司将曼德拉草描述为动态演变的威胁的一个例子,该威胁不断改进其交易技巧,以绕过防御机制并逃避检测。“这凸显了威胁行为者的强大技能,而且在发布到市场上之前对应用程序进行更严格的控制只会转化为更复杂、更难检测的威胁潜入官方应用程序市场,”它说。当被要求发表评论时,谷歌告诉The Hacker News,随着新的恶意应用程序被标记,它正在不断加强Google Play Protect防御,并且正在增强其能力,包括实时威胁检测,以解决混淆和反规避技术。谷歌发言人表示:“Google Play Protect会自动保护Android用户免受此恶意软件的已知版本的侵害,该保护在具有Google Play服务的Android设备上默认处于开启状态。“Google Play 保护机制可以警告用户或阻止已知表现出恶意行为的应用,即使这些应用来自 Play 之外的来源也是如此。”
