2020年首次发现的MandrakeAndroid软件活动似乎不受欢迎地卷土重来。卡巴斯基研究人员在本周的一篇博客文章中报告称,他们今年4月在GooglePlay商店中发现了一个可疑样本,似乎是该恶意软件的新版本。经过进一步挖掘,他们发现了5个包含Mandrake恶意软件的Android应用程序,这些应用程序已在商店中上架两年。
研究人员表示,新版Mandrake已升级,具有多层混淆功能,可绕过GooglePlay检查。因此,威胁行为者能够在2022年将至少五个包含该恶意软件的应用程序偷偷带入GooglePlay。
大多数受感染的应用程序安装次数不到1,000次,但假文件共享应用程序AirFS的安装次数超过30,000次。更麻烦的是,它在GooglePlay上一直可用,直到2024年3月才最终被删除。以下是研究人员表示在GooglePlay上至少有一年的Mandrake应用程序的完整列表:
据卡巴斯基称,威胁行为者使用Mandrake窃取用户凭证并下载和执行下一阶段的恶意应用程序。如上所述,最新版本的Mandrake可以更好地向GooglePlay隐藏其真实意图,这也解释了这些受感染的应用程序为何能够在Google的应用商店中隐藏这么久而不被发现。
卡巴斯基的两名研究人员解释道:“Mandrake软件正在不断进化,改进其隐藏、沙盒规避和绕过新防御机制的方法。在第一次活动的应用程序四年未被发现之后,当前的活动潜伏了两年,但仍可在GooglePlay上下载。这凸显了威胁行为者的强大技能,而且在应用程序发布到市场之前对应用程序进行更严格的控制,只会导致更复杂、更难检测的威胁潜入官方应用程序市场。”
正如谷歌发言人之前告诉我们的那样,只要您的设备上启用了GooglePlayProtect,您就会免受此类威胁。此外,这五款Android应用均已不再在GooglePlay上提供。