Пять приложений, содержащих потенциально опасные шпионские технологии, смогли избежать обнаружения в Google Play Store в течение двух лет, как сообщили эксперты по кибербезопасности. Эта группа приложений в совокупности набрала более 32,000 загрузок с момента их появления в 2022 году.
Новая угроза: Mandrake
Шпионское ПО под названием "Mandrake" находится в поле зрения профессионалов по кибербезопасности с 2016 года. Недавно компания Kaspersky сообщила о появлении новой версии Mandrake, специально нацеленной на устройства Android, которая характеризуется продвинутыми уровнями обфускации и техник уклонения. По словам Kaspersky, "Основной отличительной чертой новой версии Mandrake стали уровни обфускации, предназначенные для обхода проверок Google Play и затруднения анализа." Компания выявила пять приложений, содержащих Mandrake, которые в общей сложности собрали более 32,000 загрузок.
Наибольшее количество загрузок этих приложений произошло в Великобритании, а также среди пользователей из Канады, Германии, Италии, Мексики, Испании и Перу. После установки шпионское ПО способно собирать конфиденциальные данные, записывать и отслеживать экраны пользователей и даже симулировать свайпы и нажатия. В самых тревожных сценариях это может привести к несанкционированному доступу к личным аккаунтам, особенно банковской информации. Более того, шпионское ПО может устанавливать дополнительные вредоносные приложения и генерировать обманчивые уведомления, чтобы побудить пользователей скачать еще более опасный контент.
Самое популярное приложение из этой группы – AirFS – File sharing via Wi-Fi
Реакция Google и меры предосторожности
В ответ на эти находки пять выявленных приложений были удалены с платформы. Google выпустила заявление для BleepingComputer, утверждая: "Google Play Protect постоянно совершенствуется с каждым идентифицированным приложением. Мы всегда улучшаем его возможности, включая предстоящие функции обнаружения угроз в реальном времени для борьбы с обфускацией и анти-уклонительными техниками." Пользователи Android получают автоматическую защиту от известных версий вредоносного ПО через Google Play Protect, который включен по умолчанию на устройствах с Google Play Services. Эта функция может предупреждать пользователей или блокировать приложения, демонстрирующие вредоносное поведение, даже если они поступают из-за пределов Play Store.
Для тех, кто может не иметь активированного Google Play Protect или желает убедиться, что случайно не скачал одно из отмеченных приложений, ниже приведен список приложений для немедленного обзора и удаления:
- AirFS – File sharing via Wi-Fi – By it9042
- Astro Explorer – By shevabad
- Amber – By kodaslda
- CryptoPulsing – By shevabad