首页
社区
课程
招聘
[分享]五款恶意软件在Google Play中潜伏两年,已感染32000台设备
发表于: 2024-7-31 18:06 1879

[分享]五款恶意软件在Google Play中潜伏两年,已感染32000台设备

2024-7-31 18:06
1879

7月29日,卡巴斯基新发布了一份关于间谍软件Mandrake的研究报告,称Mandrake改进了多种沙盒规避及反分析技术,并藏身于五款恶意应用之中在Google Play上潜伏了两年,目前已经感染了约32000台设备。



据了解,Mandrake是一种复杂的Android间谍软件,最先由Bitdefender在2020年发现并进行详细分析。它的设计目的是通过伪装成合法应用程序来感染用户设备,并进行数据窃取。2024年4月,卡巴斯基发现了一个可疑样本,并认为其是Mandrake的最新版本。这个新样本拥有新的混淆和规避技术,例如将恶意功能移动到混淆的本机库中,使用证书固定进行 C2 通信,并执行一系列测试来检查 Mandrake 是在 root 设备上运行还是在模拟环境中运行。


Mandrake的工作机制分为如下几个阶段:

1. 初始感染:恶意代码隐藏在本地库中,使用混淆技术来避免检测。

2. 数据收集:一旦感染,Mandrake能够收集设备信息、记录屏幕、模拟用户操作等。

3. 命令与控制:通过与C2服务器的通信,Mandrake可以接收进一步的恶意指令。


根据Kaspersky的报告,包含Mandrake的应用程序有AirFS(一款文件共享应用)、Amber、Astro Explorer、Brain Matrix、CryptoPulsing。



VirusTotal的数据显示,截至 2024 年 7 月,没有任何供应商将这些应用程序检测为恶意软件。这些应用在Google Play上潜伏了两年,目前已被删除。其中大多数下载来自加拿大、德国、意大利等国家。


Google表示,他们在不断增强Google Play Protect的功能,以应对新出现的恶意软件。用户可以通过此工具获得实时的威胁检测和警告。为了保护自己,建议用户最好采取以下措施:

① 只从可信来源下载应用:确保应用程序来自知名开发者。

② 定期检查应用权限:避免授予与应用功能无关的权限。

③ 启用Google Play Protect:确保此功能处于启用状态,以便自动检测并阻止已知的恶意软件。


报告原文:https://securelist.com/mandrake-apps-return-to-google-play/113147/


编辑:左右里

资讯来源:securelist

转载请注明出处和本文链接


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//