Mandrake 是Android移动生态系统中反复出现的网络威胁。研究人员几年前就发现了受 Mandrake 感染的应用程序,而现在这种恶意软件显然又卷土重来,并采用了更复杂的技术来躲避最新的安全保护措施。
Mandrake 恶意软件家族最初是在 2020 年被 Bitdefender 发现的。这家罗马尼亚网络安全公司在两次大的感染潮中检测到了这一威胁,第一次是2016-2017年在Google Play上供下载的虚假应用程序中,第二次是2018-2020年。Mandrake 最显著的特点是能够在Google的检测之下潜行并感染大量用户,据估计在四年时间里感染了"数十万"用户。
最初的几波Mandrake 感染采用了几种技巧来掩盖它们的存在。该恶意软件的设计目的是将其最终的恶意有效载荷发送给特定的、具有高度针对性的受害者,它甚至包含一个"seppuku"死亡开关,能够清除设备上的所有感染痕迹。
隐藏 Mandrake 恶意软件的假冒应用程序是功能齐全的"诱饵",类别包括金融、汽车、视频播放器和其他流行的应用程序类型。网络犯罪分子,也可能是为此任务招募的第三方开发人员,迅速修复了用户在 Play Store 评论区报告的漏洞。此外,还使用 TLS 证书来隐藏恶意软件与命令和控制 (C&C) 服务器之间的通信。
Mandrake恶意软件家族在造成第一批受害者后,似乎就从Android生态系统中消失了。现在,卡巴斯基发现了新一波受感染的应用程序,它们比以前更难检测和分析。这种"新一代"恶意软件使用多层代码混淆技术来阻止分析和绕过Google的扫描算法,并对基于沙盒的分析技术采取特殊对策。
卡巴斯基指出,Mandrake的作者拥有高超的编码技术,这使得恶意软件的检测和研究更具挑战性。据这家俄罗斯安全公司称,包含 Mandrake 的最新应用程序是在 3 月 15 日更新的,并于当月底从应用程序商店中删除。Google和第三方公司都无法将这些新应用程序标记为恶意软件。
尽管出现了这一波最新的诱饵应用程序,但 Mandrake 的主要目的似乎仍未改变。该恶意软件旨在通过记录手机显示屏上的内容并将这些记录发送到 C&C 服务器,从而窃取用户的凭据。它还能下载和执行其他恶意有效载荷。
卡巴斯基没有提供任何有关 Mandrake 作者及其动机的进一步信息或猜测。卡巴斯基公司发现了五款携带恶意软件的应用程序,Google最终从 Play Store 中删除了这些应用程序。