Az Android kémkedési platformja, a Mandrake, amely 2016-ban kezdte meg tevékenységét és először 2020-ban fedezte fel a Bitdefender, visszatért. Erősebb változattá fejlődött, amely képes elkerülni a Google Play ellenőrzéseit, így nehezebben észlelhető. A Kaspersky öt alkalmazást talált a kémprogrammal.
A kiberbiztonsági cég szerint öt alkalmazás, amelyek 2022 és 2024 között voltak elérhetők a Google Play-en, tartalmazta a malware új verzióját. Ezeket az alkalmazásokat összesen több mint 32,000 alkalommal töltötték le, főként Kanadában, Németországban, Olaszországban, Mexikóban, Spanyolországban, Peruban és az Egyesült Királyságban.
Ezek közül a legtöbb alkalmazás legalább egy évig elérhető volt a Google Play-en, mielőtt eltávolították őket, és az AirFS csak 2024 márciusában került törlésre. Eddig egyik alkalmazást sem jelölte meg rosszindulatúnak egyetlen vírusirtó szolgáltató sem. A Mandrake alkalmazások új rétegeket alkalmaztak az elrejtés érdekében, például rosszindulatú tevékenységeket rejtett könyvtárakban végeztek, és tanúsítvány rögzítést használtak a hálózati lehallgatás megakadályozása érdekében.
Az AirFS, amelyet a legtöbbször töltöttek le, fájlmegosztó alkalmazásként álcázta magát, de a felhasználók panaszkodtak, hogy nem működik, és adatokat lopott tőlük. Ezek az alkalmazások nem csak adatokat loptak, hanem képesek voltak eszköz-információkat és a telepített alkalmazások listáját is elküldeni a készítőiknek, további alkalmazásokat telepíteni, ikonokat változtatni, és engedélyeket kérni a háttérben történő futáshoz.
A Mandrake platform három szakaszban működik. Csak akkor próbálja megfertőzni az áldozatokat, ha egy célpontot relevánsnak ítélnek. Ezt az adatok erőssége alapján döntik el.
Ha egy eszközt célpontnak jelölnek ki, a malware rögzíti a képernyőt és cookie-kat gyűjt, hogy hitelesítő adatokat lopjon, majd "letölti és elindítja a következő szakasz rosszindulatú alkalmazásait", amelyek a Mandrake fő céljai.
A Mandrake értesítéseket küld, amelyek úgy néznek ki, mintha a Google Play-től származnának, hogy rávegyék az új alkalmazás telepítésére. Az Android 13 bevezette a Korlátozott Beállítások funkciót, hogy megakadályozza a veszélyes engedélyek közvetlen kérését az oldalon letöltött alkalmazásoktól, de a Mandrake képes ezt megkerülni.
Ellenőrizze a telefonját az említett alkalmazásokra, és ha bármelyiket letöltötte, azonnal törölje őket!
A Google az alábbi nyilatkozatot adta a Bleeping Computernek az alkalmazásokkal kapcsolatban:
"A Google Play Protect folyamatosan javul minden azonosított alkalmazással. Folyamatosan fejlesztjük képességeit, beleértve a közelgő élő fenyegetés-észlelést, hogy segítsünk az elrejtési és elkerülési technikák elleni küzdelemben. Az Android felhasználók automatikusan védettek az ismert malware verziók ellen a Google Play Protect által, amely alapértelmezés szerint be van kapcsolva az Android eszközökön, amelyek rendelkeznek Google Play Szolgáltatásokkal. A Google Play Protect figyelmeztetheti a felhasználókat vagy blokkolhatja azokat az alkalmazásokat, amelyek rosszindulatú viselkedést mutatnak, még akkor is, ha ezek az alkalmazások a Playen kívüli forrásokból származnak."
Böngésszen tovább legfrissebb híreink között!
Honlapunk oldalain található információk és számítások a piacon elérhető adatokon alapszanak.
Sajnos mi sem vagyunk tévedhetetlenek, és az adatközlők sem. Az esetleges pontatlanságokért valamint az adatok felhasználásból eredő károkért felelősséget nem tudunk vállalni.
A Telefonguru oldalainak másodközlése csak a tulajdonos engedélyével lehetséges!
