Mandrake 间谍软件是一种复杂的 Android 间谍软件，最近在 Google Play Store 的多个应用程序中被发现。这些应用程序两年多来一直未被发现，总共吸引了超过 32,000 次安装。该间谍软件使用先进的技术来逃避检测，并具有复杂的功能，包括数据收集和对受感染设备的远程控制。

• AirFS (com.airft.ftrnsfr)

• 琥珀色 (com.shrp.sght)

• 天文探索者 (com.astro.dscvr)

• 脑矩阵（com.brnmth.mtrx）

您是否知道： “Google Play Store 上有数十亿活跃用户和数百万个应用程序，这使它成为世界上最大的应用商店？”

1.Mandrake 间谍软件知多少？

Mandrake 是一种 Android 间谍软件，于2020 年 5 月首次被 Bitdefender 发现。它的运作方式如下：

• 使用混淆和反分析技术来避免被发现。

• 采用证书固定来确保与其命令和控制服务器的通信安全。

• 分阶段部署有效载荷，使检测工作复杂化。

该间谍软件能够通过各种先进的技术收集敏感信息，执行远程命令并逃避安全措施。

2. Mandrake 间谍软件的危害有多大？

与木马、勒索软件或传统间谍软件变体等传播范围更广且记录更详尽的恶意软件家族不同，Mandrake 以其独特的定位、隐身和持久性方法而闻名。Mandrake 间谍软件是一种高度复杂和先进的恶意软件，专门针对 Android 设备。由于其选择性定位，Mandrake 以其在设备上保持潜伏状态直到识别出高价值目标的能力而闻名。这种潜伏功能使其在逃避防病毒和安全扫描方面具有优势。

Mandrake 间谍软件具有以下极大危害：

• 数据收集：收集敏感信息，如设备连接状态、已安装的应用程序、电池百分比和 IP 地址。

• 访问敏感数据：一旦激活，Mandrake 可以收集广泛的数据，包括联系人、消息、通话记录和浏览历史记录。

• 远程控制：它可以启动远程屏幕共享、记录设备屏幕并加载特定的 URL，从而可能导致凭证盗窃和进一步的恶意软件感染。

• 隐秘行动：其先进的规避技术使其能够在较长时间内不被传统安全措施发现。

• 应用程序伪装：Mandrake 经常伪装成 Google Play Store 或第三方应用商店中提供的合法应用程序。

• 加密通信：Mandrake 使用加密通信通道将被盗数据发送回其命令和控制服务器，使得基于网络的检测系统难以识别恶意流量。

3. Google 的安全稳健性声明在哪里？

谷歌声称，其 Google Play Protect 工具可通过扫描和检测有害行为帮助保护用户免受已知恶意应用的侵害。

Google Play Protect 在搭载 Google Play 服务的 Android 设备上默认启用，旨在识别和拦截表现出恶意活动的应用。尽管如此，像 Mandrake 这样的复杂威胁仍可以绕过这些保护措施，这凸显了持续改进安全措施的必要性。

在通过所有安全测试并在 Google Play Store 等平台上发布后，Mandrake 会要求您提供手机的所有权限。一旦您点击“全部允许”，它就会被激活并窃取所有移动用户数据。

即使你用病毒检测器扫描它，它也会隐藏自己并保持休眠状态。它首先隐藏，然后保持休眠状态，然后使用通信通道将窃取的数据发送回其命令和控制服务器，使基于网络的检测系统难以识别恶意流量。

以下是 Google Play Store 应用审核流程中的主要弱点：

1. 混淆：隐藏代码可以逃避检测。

2. 逃避技术：证书固定等反分析方法使检测变得复杂。

3. 多阶段部署：应用程序可以通过分阶段安装来避免初始检测。

4. 过多权限：应用程序可以请求不必要的权限。

5. 网络钓鱼风险：伪装的应用程序可能会窃取用户凭证。

6. 人工审查不足：大量提交可能会导致错过威胁。

7. 过时的协议：较旧的应用程序可能使用不安全的做法。

8. 第三方 SDK：可能会引入漏洞。

9. 延迟检测：复杂的恶意软件可能长时间无法被发现。

5. Google 安全定期监控存在薄弱环节

数以百万计的应用程序、数十亿的用户和数以千计的请求——恶意应用程序参与者有时可以绕过 Google 的安全检查，对用户的数据和隐私构成风险。某些应用程序可能会请求过多的权限，从而可能导致未经授权的数据访问。一种常见的方式是通过应用程序中使用的第三方软件开发工具包 (SDK)，这可能会引入漏洞。

突出的主要弱点包括：

• 混淆技术： Mandrake 使用混淆代码，使得自动化工具难以检测到。

• 示例：将变量重命名为无意义的名称，或使用复杂的算法。

• 逃避技术：反分析方法和证书固定使恶意活动的检测变得复杂。

• 多阶段部署：恶意软件的多阶段安装过程可以在初始阶段逃避检测。

• 网络钓鱼攻击：恶意应用程序有时会使用网络钓鱼技术窃取用户凭据。持续监控和教育用户如何识别网络钓鱼行为可以降低这些风险。

• 过时的安全协议：较旧的应用程序可能使用过时的安全协议，因此容易受到攻击。定期更新和执行最低安全标准有助于防范此类漏洞。

混淆：使代码难以阅读或理解，以保护知识产权或防止逆向工程。例如：将变量重命名为无意义的名称，或使用复杂的算法。

6. 攻击者如何利用 Google 的弱点

我是 Google 应用的用户之一，我的手机是 Android 手机。我觉得 Google Play Store 应用没有问题，无论是 Google 自己的服务还是第三方服务。它们运行速度快、流畅，而且大多数都是免费使用的。所以如果你问我对 Google 服务的看法，我会给出满分 10 分的评价，如果你 5 年前问我，我当时也会给出满分 10 分的评价。

希望这不仅仅是我一个人的情况；我确信数十亿活跃用户对谷歌有着同样的感受，这就是为什么 Play Store 上有数百万个活跃应用程序的原因。

但问题就在这里：有数百万个应用程序，对吧？

你能想象这些应用程序如何通过认证并在 Google Play Store 上架吗？

您可能会说 AI 或某些自动化流程会检查和发布应用程序，对吗？其实并非如此。大部分工作都是手动完成的。是的，这不是玩笑——他们确实这样做。他们必须手动检查应用程序中是否存在错误、任何行话或任何恶意活动。每天都有数千个请求，每个请求都必须传递规定的参数。

在这里，攻击者可能会利用弱点并取得优势。

• 手动代码检查：安全专家手动检查应用程序的代码，尤其是当它包含混淆代码或使用自动化工具可能无法完全理解的高级技术时。

• 逆向工程：在某些情况下，审核人员会对应用程序进行反编译，以更好地了解其功能并确保没有隐藏的恶意组件。

攻击者通过以下方式利用这些弱点：

• 使用高级逃避技术：混淆和反分析方法可帮助恶意软件避免被检测到。

• 安全通信：证书固定和加密流量使得拦截和分析恶意活动变得困难。

• 绕过安全功能：基于会话的安装等技术可以绕过较新的安全措施和权限控制。

7. 前进之路

为了应对这些挑战，需要改进：

• 增强检测方法：开发先进的工具和技术来分析混淆和逃避检测的恶意软件。

• 实时监控：提高实时检测和应对复杂威胁的能力。

• 自适应安全措施：不断更新安全协议以应对新的和不断演变的威胁。

结论：

在 Google Play Store 上发现 Mandrake 间谍软件凸显了移动安全领域存在严重漏洞，需要立即引起注意。尽管 Google 努力开发 Google Play Protect 等工具，但由于先进的规避技术和多阶段部署策略，像 Mandrake 这样的复杂威胁仍然可以绕过现有措施。Mandrake 在收集敏感数据和执行远程命令时保持潜伏状态且不被发现的能力凸显了对更强大、更具适应性的安全解决方案的需求。

原文始发于微信公众号（KK安全说）：Google Play 商店中存在的可疑间谍软件