Эксперты Bitdefender обнаружили в официальном магазине приложений для Android шпионскую малварь Mandrake, которая ускользала от внимания ИБ-специалистов на протяжении четырех лет (с 2016 года). Вредонос устанавливал полный контроль над зараженными устройствами, собирал с зараженных девайсов учетные данные, GPS, делал записи экрана и так далее. При этом вредонос старательно избегал заражений в странах СНГ (Украина, Беларусь, Кыргызстан и Узбекистан), Африке и на Ближнем Востоке.

Mandrake имеет трехступенчатую структуру, которая и позволила его операторам так долго избегать обнаружения защитными механизмами Google Play. Всё начиналось с безобидного дроппера, размещенного в официальном каталоге приложений и замаскированного под  легитимное приложение, вроде гороскопа или конвертера криптовалют.

Когда такое приложение загружалось на устройство жертвы, дроппер скачивал с удаленного сервера загрузчик. При этом и сам дроппер был способен удаленно включать Wi-Fi, собирать информацию об устройстве, скрывать свое присутствие о жертвы и автоматически устанавливать новые приложения.

В свою очередь, загрузчик уже был ответственен за загрузку и установку непосредственно малвари Mandrake. Вредонос полностью компрометировал целевое устройство, выдавал себе привилегии администратора (запрос на получение прав маскировался под принятие лицензионного соглашения), после чего получал широкие возможности: пресылка всех входящих SMS-сообщений на сервер злоумышленников; отправка сообщений; совершение звонков; кража информации из списка контактов; активация и отслеживание местоположения пользователя посредством GPS; хищение учетных данных Facebook и финансовой информации; запись экрана.

Также малварь осуществляла фишинговые атаки на приложения Coinbase, Amazon, Gmail, Google Chrome, приложения различных банков Австралии и Германии, сервис конвертации валют XE и PayPal.

Хуже того, Mandrake способен осуществить сброс зараженного устройства к заводским настройкам, чтобы стереть пользовательские данные, а также все следы активности самой малвари. Когда злоумышленники получали от жертвы всю нужную им информацию, Mandrake переходил в «режим уничтожения» и стирал себя с устройства.

«Мы полагаем, что число пострадавших от Mandrake исчисляется десятками или даже сотнями тысяч, но точное число нам неизвестно», — пишет эксперт Bitdefender Богдан Ботезату.

Исследователи компании считают, что в течение четырех лет все атаки спайвари координировались ее операторами вручную и не были полностью автоматизированы, как это бывает обычно. Также они отмечают, что Mandrake не распространялся при помощи спама, и,  похоже, злоумышленники тщательно отбирали всех своих жертв.

Специалисты смогли проследить ­учетную запись разработчика Mandrake в Google Play до некоего русскоязычного фрилансера, скрывающегося за сетью сайтов фейковых компании, похищенных удостоверений личности и адресов электронной почты, а также поддельных объявлений о работе в Северной Америке.

3 комментария

  1. Аватар

    icoz

    16.05.2020 в 12:23

    Интересно, что в андроиде до сих пор нет аналога докера для запуска приложений в песочнице, чтобы можно было настроить сеть так, чтобы приложение не могло ходить дальше одного домена, прописанного в манифесте как урл разработчика. Сразу большую часть существующих зловредов, имхо, срезало бы.
    Да даже просто ограничение на объем отправляемых данных поставить. Больше 300кб ушло — заблокировать приложение, выдать окно с перечнем урлов, куда оно ломилось.
    А для приложения типа фонарик и прочие «компасы» — ограничение 0 байт.

Оставить мнение