Η Kaspersky αποκάλυψε πρόσφατα την ύπαρξη μιας νέας παραλλαγής του επικίνδυνου κατασκοπευτικού λογισμικού «Mandrake», η οποία βρέθηκε κρυμμένη σε πέντε εφαρμογές διαθέσιμες στο Google Play. Οι εφαρμογές αυτές, οι οποίες κατάφεραν να συγκεντρώσουν χιλιάδες λήψεις, παρέμειναν στη δημοφιλή πλατφόρμα για πάνω από ένα χρόνο, θέτοντας σε κίνδυνο την ασφάλεια πολλών χρηστών παγκοσμίως.
Οι πέντε μολυσμένες εφαρμογές που εντοπίστηκαν είναι οι εξής:
– AirFS – File sharing via Wi-Fi από τον it9042 (30.305 λήψεις μεταξύ 28 Απριλίου 2022 και 15 Μαρτίου 2024)
– Astro Explorer από τον shevabad (718 λήψεις από τις 30 Μαΐου 2022 έως τις 6 Ιουνίου 2023)
– Amber από τον kodaslda (19 λήψεις μεταξύ 27 Φεβρουαρίου 2022 και 19 Αυγούστου 2023)
– CryptoPulsing από τον shevabad (790 λήψεις από 2 Νοεμβρίου 2022 έως 6 Ιουνίου 2023)
– Brain Matrix από τον kodaslda (259 λήψεις μεταξύ 27 Απριλίου 2022 και 6 Ιουνίου 2023)
Η πιο γνωστή από αυτές τις εφαρμογές, το AirFS, συγκέντρωσε τον μεγαλύτερο αριθμό μολύνσεων πριν αφαιρεθεί από το Google Play τον Μάρτιο του 2024.
Οι χώρες που επηρεάστηκαν περισσότερο από την παρουσία του Mandrake είναι ο Καναδάς, η Γερμανία, η Ιταλία, το Μεξικό, η Ισπανία, το Περού και το Ηνωμένο Βασίλειο. Το γεγονός ότι οι εφαρμογές παρέμειναν διαθέσιμες για τόσο μεγάλο χρονικό διάστημα καταδεικνύει την εξελιγμένη φύση του λογισμικού και τις τεχνικές που χρησιμοποιεί για να αποφύγει τον εντοπισμό.
Το Mandrake καταγράφηκε για πρώτη φορά από την Bitdefender το 2020, αλλά είναι ενεργό τουλάχιστον από το 2016. Πρόκειται για ένα εξαιρετικά προηγμένο κατασκοπευτικό λογισμικό με δυνατότητες κατασκοπείας υψηλού επιπέδου. Η τελευταία του έκδοση περιλαμβάνει στρατηγικές αποφυγής που δυσκολεύουν σημαντικά τον εντοπισμό του. Συγκεκριμένα, το Mandrake αποκρύπτει το αρχικό payload του σε μια εγγενή βιβλιοθήκη με το όνομα «libopencv_dnn.so». Κατά την εγκατάσταση, η βιβλιοθήκη αυτή αποκρυπτογραφεί και φορτώνει τα επόμενα στάδια του κακόβουλου λογισμικού, επιτρέποντας τη δημιουργία επικοινωνίας με έναν server εντολών και ελέγχου. Μέσω αυτής της σύνδεσης, το λογισμικό μπορεί να συλλέξει δεδομένα, να καταγράψει την οθόνη του χρήστη και να εκτελέσει εντολές.
Παρά την αφαίρεση των εφαρμογών από το Google Play, η απειλή του Mandrake παραμένει. Οι χρήστες συνιστάται να λαμβάνουν τα εξής μέτρα προστασίας:
– Εγκατάσταση εφαρμογών μόνο από αξιόπιστες πηγές.
– Εξέταση σχολίων άλλων χρηστών πριν από την εγκατάσταση.
– Αποφυγή χορήγησης περιττών αδειών σε εφαρμογές.
– Διασφάλιση ότι το Play Protect είναι ενεργό στις συσκευές τους.
Απαντώντας στη δημοσίευση της Kaspersky, η Google υπογράμμισε τις συνεχείς βελτιώσεις που πραγματοποιεί στο Google Play Protect. Περιλαμβάνονται χαρακτηριστικά ανίχνευσης ζωντανών απειλών, τα οποία στοχεύουν στην αντιμετώπιση των τεχνικών παράκαμψης που χρησιμοποιούνται από κακόβουλο λογισμικό όπως το Mandrake. Αυτές οι βελτιώσεις είναι κρίσιμες για την προστασία των χρηστών και την αποτροπή παρόμοιων απειλών στο μέλλον.
Η αποκάλυψη της νέας παραλλαγής του Mandrake αναδεικνύει τις προκλήσεις που αντιμετωπίζουν οι πλατφόρμες εφαρμογών και οι χρήστες τους από το συνεχώς εξελισσόμενο τοπίο των ψηφιακών απειλών. Η συνεργασία μεταξύ εταιρειών ασφάλειας και παρόχων υπηρεσιών είναι απαραίτητη για την ενίσχυση της προστασίας των καταναλωτών και την αποτροπή της εξάπλωσης κακόβουλου λογισμικού.