网络第5域

高度复杂的恶意软件潜伏在Google Play应用商店中多年而未被发现

字号+作者: 来源:cnBeta 2024-08-02 08:02 评论(创建话题) 收藏成功收藏本文

Mandrake是Android移动生态系统中反复出现的网络威胁。研究人员几年前就发现了受Mandrake感染的应用程序,而现在这种恶意软件显然又卷土重来,并采用了更'...

Mandrake是Android移动生态系统中反复出现的网络威胁。研究人员几年前就发现了受Mandrake感染的应用程序,而现在这种恶意软件显然又卷土重来,并采用了更复杂的技术来躲避最新的安全保护措施。tlX品论天涯网


tlX品论天涯网

Mandrake恶意软件家族最初是在2020年被Bitdefender发现的。这家罗马尼亚网络安全公司在两次大的感染潮中检测到了这一威胁,第一次是2016-2017年在GooglePlay上供下载的虚假应用程序中,第二次是2018-2020年。Mandrake最显著的特点是能够在Google的检测之下潜行并感染大量用户,据估计在四年时间里感染了"数十万"用户。tlX品论天涯网

最初的几波Mandrake感染采用了几种技巧来掩盖它们的存在。该恶意软件的设计目的是将其最终的恶意有效载荷发送给特定的、具有高度针对性的受害者,它甚至包含一个"seppuku"死亡开关,能够清除设备上的所有感染痕迹。tlX品论天涯网

隐藏Mandrake恶意软件的假冒应用程序是功能齐全的"诱饵",类别包括金融、汽车、视频播放器和其他流行的应用程序类型。网络犯罪分子,也可能是为此任务招募的第三方开发人员,迅速修复了用户在PlayStore评论区报告的漏洞。此外,还使用TLS证书来隐藏恶意软件与命令和控制(C&C)服务器之间的通信。tlX品论天涯网

Mandrake恶意软件家族在造成第一批受害者后,似乎就从Android生态系统中消失了。现在,卡巴斯基发现了新一波受感染的应用程序,它们比以前更难检测和分析。这种"新一代"恶意软件使用多层代码混淆技术来阻止分析和绕过Google的扫描算法,并对基于沙盒的分析技术采取特殊对策。tlX品论天涯网

卡巴斯基指出,Mandrake的作者拥有高超的编码技术,这使得恶意软件的检测和研究更具挑战性。据这家俄罗斯安全公司称,包含Mandrake的最新应用程序是在3月15日更新的,并于当月底从应用程序商店中删除。Google和第三方公司都无法将这些新应用程序标记为恶意软件。tlX品论天涯网

尽管出现了这一波最新的诱饵应用程序,但Mandrake的主要目的似乎仍未改变。该恶意软件旨在通过记录手机显示屏上的内容并将这些记录发送到C&C服务器,从而窃取用户的凭据。它还能下载和执行其他恶意有效载荷。tlX品论天涯网

卡巴斯基没有提供任何有关Mandrake作者及其动机的进一步信息或猜测。卡巴斯基公司发现了五款携带恶意软件的应用程序,Google最终从PlayStore中删除了这些应用程序。tlX品论天涯网

下载白皮书tlX品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]