Google Play 的五个应用程序中发现 Mandrake Android 间谍软件，下载量超过 32,000 次

卡巴斯基的研究人员发现，在 Google Play 上的五个应用程序中存在 Mandrake Android 间谍软件的新版本，这些应用程序在 2022 年至 2024 年期间的总下载量超过 32,000 次。

比特梵德（Bitdefender）的研究人员在 2022 年调查针对特定设备的高度针对性攻击时，发现了高度复杂的 Android 间谍软件 Mandrake。最初的 Mandrake 活动分为两波感染潮，分别在 2016-2017 年和 2018-2020 年。

Mandrake 允许攻击者完全控制受感染的设备并窃取敏感数据，它还实现了一个自毁功能（一个称为“切腹”（日本式自杀仪式）的特殊命令），用于清除受害者的所有数据，不留任何恶意软件痕迹。

2024 年 4 月，卡巴斯基在 Google Play 上发现了 Mandrake 间谍软件的新版本，研究人员强调，这款间谍软件未被其他供应商检测到，并采用了先进的模糊和逃避技术。这些技术包括将恶意功能转移到模糊的本地库中、使用证书锁定来保护 C2 通信，并确定它是否在已越狱的设备或模拟环境中运行。

“2024 年 4 月，我们发现了一个可疑样本，结果证明是 Mandrake 的新版本。新 Mandrake 变种的主要特点是多层模糊处理，旨在绕过 Google Play 的检查并阻碍分析。我们发现了五个包含 Mandrake 的应用程序，总下载量超过 32,000 次。”卡巴斯基发布的报告中写道。“所有这些应用程序均在 2022 年发布在 Google Play 上，并至少保留了一年。最新的应用程序于 2024 年 3 月 15 日更新，并在当月晚些时候从 Google Play 中删除。截至 2024 年 7 月，根据 VirusTotal，没有任何供应商将这些应用程序检测为恶意软件。”

以下是在 Google Play 上发现的包含恶意软件的应用程序列表：

其中一个应用程序AirFS伪装成文件共享应用程序，在从Google Play下架之前积累了超过30,000次下载。

Mandrake 应用程序的工作分为三个阶段：投放器（dropper）、加载器（loader）和核心（core）。投放器将其恶意行为隐藏在高度模糊的本地库中，该库从资源文件夹中解密加载器并执行它。

与先前活动中使用的版本不同，其中第一阶段（投放器）的恶意逻辑位于应用程序的 DEX 文件中，新版本将所有第一阶段的恶意活动隐藏在名为 libopencv_dnn.so 的本地库中。专家指出，与 DEX 文件相比，libopencv_dnn.so 更难分析和检测。

有趣的是，研究人员分析的一个样本（com.shrp.sght）只有两个阶段，因为加载器和核心功能被合并到一个 APK 文件中，投放器从其资源中解密该文件。

加载器启动后，Mandrake 应用程序会显示一个通知，请求允许绘制覆盖层。

一旦连接到 C2 服务器，该应用程序就会向 C2 发送有关设备的信息，包括已安装的应用程序、移动网络、IP 地址和唯一设备 ID。威胁参与者根据他们收集的数据评估目标的相关性。如果他们认为目标很重要，他们会发送命令下载并执行 Mandrake 的“核心”组件。这涉及应用程序下载、解密和运行核心组件，该组件包含主要的恶意功能。

该恶意软件使用 OpenSSL 静态编译库进行 C2 通信，并使用加密证书以防止流量被嗅探。

专家高度确信，此次活动背后的威胁参与者与比特梵德观察到的活动相同。

卡巴斯基报告称，大多数下载来自加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国。

“Mandrake 间谍软件正在动态发展，改进其隐藏、沙盒规避和绕过新防御机制的方法。”卡巴斯基总结道。“在第一个活动的应用程序四年未被发现之后，当前的活动在阴影中潜伏了两年，但仍然可以在 Google Play 上下载。这凸显了威胁行为者的强大技能，而且在应用程序发布到市场之前，对应用程序进行更严格的控制只会转化为更复杂、更难检测的威胁潜入官方应用程序市场。

原文始发于微信公众号（黑猫安全）：Google Play 的五个应用程序中发现 Mandrake Android 间谍软件，下载量超过 32,000 次