جاسوس‌ا‌فزار Mandrake دوباره به گوگل‌پلی نفوذ کرد

security news

پس از وقفه‌ای دو ساله، نرم‌افزار جاسوسی اندروید Mandrake دوباره به Google Play بازگشت. بر اساس تجزیه و تحلیل کسپرسکی، پنج اپلیکیشن Mandrake از سال 2022 تا 2024 با بیش از 32000 نصب در گوگل‌پلی در دسترس بوده‌اند و شناسایی نشده‌اند.

گفتنی است که نمونه‌های جدید شامل لایه‌های جدیدی از تکنیک‌های مبهم‌سازی و فرار، مانند انتقال عملکردهای مخرب به کتابخانه‌های بومی مبهم، استفاده از پین کردن certificate برای ارتباطات C2، و انجام طیف گسترده‌ای از آزمایش‌ها برای بررسی اینکه آیا Mandrake روی یک دستگاه روت شده یا محیط شبیه‌سازی شده در حال اجرا است.

 پنج اپ شناسایی شده شامل Brain Matrix، AirFS – File sharing via Wi-Fi ،‌ Astro Explorer،‌ Amber،‌ CryptoPulsing است. به طور کلی یافته‌های کسپرسکی نشان داد:

  • ارتباط با سرورهای فرماندهی و کنترل (C2) از پین کردن certificate برای جلوگیری از ضبط ترافیک SSL استفاده می‌کند.
  • نفوذگران، عملکرد مخرب اصلی را به کتابخانه‌های بومی مبهم شده با OLLVM منتقل کرده‌اند.
  • Mandrake از روش‌های مخفی‌سازی و فرار از sandbox و تکنیک‌های ضد تجزیه و تحلیل و دور زدن مکانیسم‌های دفاعی متنوعی استفاده می‌کند.

https://securelist.com/mandrake-apps-return-to-google-play/113147