比特梵德实验室的一支研究团队,刚刚曝光了一款名叫 Mandrake 的 Android 恶意软件。自 2016 年以来,它就一直在窃取用户的数据。Bitdefender 指出,其行为与大多数常见的威胁有所不同。Mandrake 并不致力于感染更多的设备,而是希望从用特定用户手上榨取更多的数据。从这一点来看,这款恶意软件在挑选受害者时,还算相当“挑剔”的。
(来自:BitDefender Labs)
与现实世界中的生物病毒一样,高传染性意味着更容易被发现。Mandrake 极力在隐藏自己,对特定受害设备的数据窃取利用到了极致。
实际上,根据 BitDefender 的深入分析,可知这款恶意软件被明确指定不得攻击某些地区的用户,包括前苏联、非洲和中东。澳大利亚被高度针对,美国、加拿大和某些欧洲国家也出现了很多感染案例。
Mandrake 于今年早些时候被首次发现,但其历史可追溯到 2016 年。据估计,当时该病毒已感染成千上万的设备,但最近一轮又扩散到了数十万人。
之所以谷歌 Play 商店迟迟未能揪出这款恶意软件,是因为 Mandrake 并未直接将这部分内容包含在程序本体。只有在接到指示之后,才会开启加载恶意行为的过程。
如此一来,它便能够避免被谷歌在早期筛查中发现。一旦将有效负载置于设备上,恶意软件便可立即窃取任何想要的数据,包括网站和应用的登陆凭据。
Mandrake 甚至可以重绘屏幕上的内容,意味着即使受害者看到了“完全正常”的页面、实际上却是在向恶意软件的幕后主使授予权限和相关数据。
Bitdefender 威胁研究和报告主管 Bogdan Botezatu 称之为“迄今为止最强大的 Android 恶意软件之一”,其最终目标是完全控制设备并染指用户账户。
为了不被发现,多年来 Mandrake 已经在谷歌 Play 商店里通过各种明目进行了传播,以及使用不同的开发者名称来打造诸多全新的应用。
此外为了给维持用户眼中“可信赖”的错误印象,开发者对“正经功能”的反馈响应也很是积极,甚至某些 App 还有与之关联的社交媒体活跃账号。
然而一旦恶意软件收集到了所有的数据,它便能够从设备上完全擦除自己的痕迹,导致用户根本不知道自己都经历了什么。
有鉴于此,我们还是建议大家尽量留意开发者的信誉是否良好,且不要通过不靠谱的平台去下载 App 。