پس از وقفهای دو ساله، نرمافزار جاسوسی اندروید Mandrake دوباره به Google Play بازگشت. بر اساس تجزیه و تحلیل کسپرسکی، پنج اپلیکیشن Mandrake از سال 2022 تا 2024 با بیش از 32000 نصب در گوگلپلی در دسترس بودهاند و شناسایی نشدهاند.
گفتنی است که نمونههای جدید شامل لایههای جدیدی از تکنیکهای مبهمسازی و فرار، مانند انتقال عملکردهای مخرب به کتابخانههای بومی مبهم، استفاده از پین کردن certificate برای ارتباطات C2، و انجام طیف گستردهای از آزمایشها برای بررسی اینکه آیا Mandrake روی یک دستگاه روت شده یا محیط شبیهسازی شده در حال اجرا است.
پنج اپ شناسایی شده شامل Brain Matrix، AirFS – File sharing via Wi-Fi ، Astro Explorer، Amber، CryptoPulsing است. به طور کلی یافتههای کسپرسکی نشان داد:
- ارتباط با سرورهای فرماندهی و کنترل (C2) از پین کردن certificate برای جلوگیری از ضبط ترافیک SSL استفاده میکند.
- نفوذگران، عملکرد مخرب اصلی را به کتابخانههای بومی مبهم شده با OLLVM منتقل کردهاند.
- Mandrake از روشهای مخفیسازی و فرار از sandbox و تکنیکهای ضد تجزیه و تحلیل و دور زدن مکانیسمهای دفاعی متنوعی استفاده میکند.
https://securelist.com/mandrake-apps-return-to-google-play/113147
