חוקרי אבטחת סייבר גילו גרסה חדשה של תוכנת ריגול אנדרואיד מנדרייק המסתתרת באפליקציות בחנות Google Play.
כפי שדווח על ידי BleepingComputer, Mandrake התגלה לראשונה על ידי Bitdefender בשנת 2020, אך לפני כן, היא פעלה בטבע מאז 2016 לפחות. מאז, קספרסקי גילתה גרסה חדשה של תוכנת הריגול של אנדרואיד שעדיף להישאר ללא זיהוי.
בדו"ח חדש, חוקרי חברת אבטחת הסייבר מסבירים כי הגרסה החדשה הזו של Mandrake הצליחה להתגנב לחנות Play בחמש אפליקציות שהוגשו עוד בשנת 2022. באופן מפתיע, רוב האפליקציות נשארו זמינות לפחות שנה, בעוד אחת החזיקה מעמד למשך שנתיים לפני שהוא התגלה בסופו של דבר.
אם אתה הבעלים של אחד ממכשירי האנדרואיד הטובים ביותר ואתה מודאג מהאיום המחודש הזה, הנה כל מה שאתה צריך לדעת על תוכנת הריגול Mandrake וכיצד להישאר בטוח מפני תוכנות זדוניות.
מחק את האפליקציות האלה עכשיו
בזמן הכתיבה, כל האפליקציות הזדוניות שנמצאו מכילות גרסה חדשה זו של תוכנת הריגול Mandrake הוסרו מחנות Google Play. עם זאת, אם יש לך אחד מהם מותקן בטלפון החכם שלך או באחד הטאבלטים הטובים ביותר של אנדרואיד, עליך למחוק אותם באופן ידני.
להלן האפליקציות המדוברות, יחד עם כמה פעמים הורידו אותן משתמשי אנדרואיד תמימים:
- AirFS – 30,305 הורדות
- אסטרו אקספלורר – 718 הורדות
- עַנבָּר – 19 הורדות
- קריפטופולינג – 790 הורדות
- מטריקס של המוח – 259 הורדות
מבין האפליקציות הזדוניות הללו, AirFS היא זו שהצליחה להתחמק מזיהוי הכי הרבה זמן, והיא הייתה בחנות Play במשך שנתיים לפני שהוסרה בסופו של דבר במרץ השנה. לפי קספרסקי, משתמשי אנדרואיד הורידו בעיקר את האפליקציות הללו בבריטניה, קנדה, גרמניה, איטליה, מקסיקו, ספרד ופרו.
מסתתר לעין
האפליקציות הזדוניות שמפיצות את תוכנת הריגול של Mandrake עושות דברים קצת אחרת מהתוכנות הזדוניות הרגילות של אנדרואיד. במקום להכניס היגיון זדוני לקובץ DEX של אפליקציה, Mandrake מסתיר את השלב הראשון שלו בספרייה מקורית בשם "libopencv_dnn.so" שמעורפלת באמצעות OOLVM.
לאחר ההתקנה בטלפון אנדרואיד של קורבן פוטנציאלי, ספרייה זו מייצאת פונקציות המשמשות לפענוח DEx של הטוען בשלב השני מתיקיית הנכסים שלו ולטעון אותו לזיכרון.
שלב שני זה מבקש גם לצייר שכבות-על המשמשות לעתים קרובות בהתקפות-על. עם זאת, הוא גם טוען ספרייה מקורית שנייה (הנקראת "libopencv_java3.so"), אשר מפענחת תעודה המשמשת לתקשורת מאובטחת עם שרת פקודה ובקרה (C2) הנשלט על ידי האקרים.
ברגע שהאפליקציה הזדונית מתחברת לשרת C2 של ההאקר, היא שולחת פרופיל מכשיר ומקבלת את השלב השלישי שלו, שהוא למעשה תוכנת הריגול Mandrake. תוכנת הריגול יכולה לבצע מגוון רחב של פעולות זדוניות כמו איסוף נתונים, הקלטת מסך וניטור, ביצוע פקודות, הדמיית החלקות והקשות, ניהול קבצים ואפילו התקנת אפליקציות זדוניות נוספות.
ההאקרים שמאחורי תוכנת הריגול הזו גם המציאו דרך להציג התראות שמתחזות להודעות אמיתיות מחנות Play כדי להערים על משתמשים להטעין צד תוכנות זדוניות נוספות דרך קבצי APK.
בדיוק כמו עם זני תוכנות זדוניות מסוכנים אחרים של אנדרואיד, Mandrake מנצל לרעה את ההרשאות של אנדרואיד כדי לרוץ ברקע ולהסתיר סמלי אפליקציה כך שהוא יוכל לפעול ברקע בגניבה בלי לשים לב.
כיצד לשמור על בטיחות מפני תוכנות זדוניות של אנדרואיד
בעוד שכל חמש האפליקציות הזדוניות המדוברות הוסרו מאז מחנות Play, פושעי סייבר יכולים להשתמש באפליקציות חדשות שקשה יותר לזהות כדי להמשיך ולהפיץ את תוכנת הריגול מחנות האפליקציות הרשמית של גוגל בעתיד.
מסיבה זו, אתה תמיד צריך להיות זהיר בעת הורדה והתקנה של אפליקציות חדשות במכשירי האנדרואיד שלך. אתה רוצה להסתכל על ביקורות ודירוגים בזהירות לפני הורדת משהו. ובכל זאת, מכיוון שניתן לזייף אותם, עליך לחפש גם ביקורות חיצוניות וסקירות וידאו של צד שלישי המציגות אפליקציה מסוימת בפעולה לפני שאתה מוריד אותה.
במקביל, אתה גם רוצה לוודא ש-Google Play Protect מופעל בסמארטפון או בטאבלט שלך, מכיוון שהוא יכול לסרוק את כל האפליקציות הקיימות שלך וכל האפליקציות החדשות שאתה מוריד לאיתור תוכנות זדוניות. עם זאת, להגנה נוספת, עליך לשקול להשתמש באחת מאפליקציות האנטי-וירוס הטובות ביותר של אנדרואיד לצדה.
אפליקציות זדוניות זכו להצלחה רבה עבור האקרים ופושעי סייבר אחרים בעבר, וזו הסיבה שהאיום הזה כנראה לא ייעלם בקרוב למרות המאמצים של גוגל למנוע מהם להגיע לחנות Play. זו הסיבה שאתה צריך להיות זהיר ולעשות את המחקר שלך תחילה לפני התקנת אפליקציות חדשות כלשהן בסמארטפון או בטאבלט אנדרואיד שלך.
