Недавнее расследование компании Kaspersky выявило новую версию печально известного шпионского ПО для Android под названием Mandrake, которое проникло в пять приложений, доступных на Google Play. Эти приложения, суммарно скачанные более 32 000 раз, находились на платформе как минимум год, прежде чем последнее из них, AirFS, было удалено в марте 2024 года. Оригинальное вредоносное ПО Mandrake впервые было задокументировано Bitdefender в 2020 году, демонстрируя свои передовые шпионские возможности и активное присутствие с 2016 года.
Приложения, зараженные Mandrake
Анализ Kaspersky выявил пять приложений, содержащих вредоносное ПО Mandrake:
- AirFS – File sharing via Wi-Fi от it9042 (30 305 загрузок с 28 апреля 2022 года по 15 марта 2024 года)
- Astro Explorer от shevabad (718 загрузок с 30 мая 2022 года по 6 июня 2023 года)
- Amber от kodaslda (19 загрузок с 27 февраля 2022 года по 19 августа 2023 года)
- CryptoPulsing от shevabad (790 загрузок с 2 ноября 2022 года по 6 июня 2023 года)
- Brain Matrix от kodaslda (259 загрузок с 27 апреля 2022 года по 6 июня 2023 года)
Большинство загрузок происходили из таких стран, как Канада, Германия, Италия, Мексика, Испания, Перу и Великобритания.
Избегание обнаружения
Что отличает Mandrake от типичного вредоносного ПО для Android, так это его хитроумный подход к сокрытию. Вместо того чтобы внедрять вредоносный код непосредственно в DEX-файл приложения, Mandrake умело скрывает свою начальную стадию в нативной библиотеке под названием libopencv_dnn.so, которая сильно запутана с использованием OLLVM. При установке вредоносного приложения эта библиотека экспортирует функции, предназначенные для расшифровки загрузчика DEX второй стадии из папки assets и последующей загрузки его в память.
Вторая стадия вредоносного ПО запрашивает разрешения на наложение поверх других приложений и загружает другую нативную библиотеку, libopencv_java3.so, которая отвечает за расшифровку сертификата, обеспечивающего безопасное общение с сервером команд и управления (C2). После установления соединения приложение отправляет профиль устройства и, если устройство соответствует определенным критериям, получает основной компонент Mandrake (третья стадия).
После активации шпионское ПО Mandrake способно выполнять различные вредоносные действия, включая:
- Сбор данных
- Запись экрана и мониторинг
- Выполнение команд
- Имитирование свайпов и нажатий пользователя
- Управление файлами
- Установка дополнительных вредоносных приложений
Примечательно, что вредоносное ПО может побуждать пользователей устанавливать дополнительные вредоносные APK-файлы, отображая уведомления, имитирующие Google Play, тем самым обманывая пользователей и заставляя их загружать небезопасные файлы под видом доверенного процесса.
В дополнение к своим скрытным операциям Mandrake использует метод установки на основе сеансов для обхода ограничений, введенных Android 13 и более поздними версиями относительно установки APK-файлов из неофициальных источников. Как и многие другие варианты вредоносного ПО для Android, Mandrake может запрашивать разрешения на работу в фоновом режиме и скрывать значок приложения-дроппера на устройстве жертвы, что позволяет ему работать незаметно.
Последняя версия Mandrake также внедрила техники обхода батареи, специально проверяя наличие Frida, инструментария динамической инструментализации, популярного среди аналитиков безопасности. Она также оценивает статус root-прав устройства, ищет определенные бинарные файлы, связанные с рутированием, проверяет, смонтирован ли системный раздел как только для чтения, и проверяет, включены ли настройки разработчика и ADB на устройстве.
Хотя пять выявленных приложений больше недоступны на Google Play, угроза Mandrake остается актуальной.