Malver Mandrake pronađen u aplikacijama na Google Play

Mobilni telefoni, 30.07.2024, 11:00 AM

Nova verzija špijunskog malvera za Android “Mandrake” pronađena je u pet aplikacija na Google Play, koje su iz Googleove prodavnice aplikacija za Android preuzete ukupno 32.000 puta.

Mandrake su prvi primetili i dokumentovali 2020. godine istraživači iz kompanije Bitdefender, koji su tada rekli da je malver u cirkulaciji od najmanje 2016. godine.

Sada je Kaspersky otkrio novu varijantu Mandrakea koja se ušunjala na Google Play kroz pet aplikacija koje su objavljene u prodavnici 2022. Aplikacije su bile dostupne najmanje godinu dana, dok je poslednja, AirFS, koja je bila najuspešnija po broju preuzimanja i infekcijama, uklonjena krajem marta 2024. godine. Ostale aplikacije inficirane Mandrakeom su Astro Explorer, Amber, CryptoPulsing i Brain Matrix.

Većina preuzimanja ovih aplikacija dolazi iz Kanade, Nemačke, Italije, Meksika, Španije, Perua i Velike Britanije.

Nakon uspostavljanja komunikacije sa serverom za komadnu i kontrolu, aplikacija šalje profil uređaja i prima osnovnu komponentu Mandrakea (treća faza infekcije), ako se uređaj smatra odgovarajućim. Kada se ta komponenta aktivira, Mandrake može da obavlja niz zlonamernih aktivnosti, uključujući prikupljanje podataka, snimanje i nadgledanje ekrana, izvršavanje komandi, simulaciju prevlačenja i dodirivanja korisnika, upravljanje fajlovima i instalaciju aplikacija. Kaspersky kaže da malver može da zaobiđe ograničenja Androida 13 (i novijih verzija) za instalaciju APK-ova iz nezvaničnih izvora.

Kao i drugi malveri za Android, Mandrake može da zatraži od korisnika da mu da dozvolu za rad u pozadini i sakrije ikonu dropper aplikacije na uređaju.

Iako pet aplikacija koje je Kaspersky otkrio na Google Play više nisu dostupne u Googleovoj prodavnici, malver bi se mogao vratiti preko novih aplikacija koje je teže otkriti, upozorili su istraživači.

Korisnicima Androida se preporučuje da instaliraju aplikacije samo od renomiranih izdavača, proveravaju komentare drugih korisnika pre instaliranja, izbegavaju odobravanje zahteva za rizične dozvole koje nisu povezane sa funkcijom aplikacije i da proveravaju da li je Play Protect aktivan.

„Korisnici Androida su automatski zaštićeni od poznatih verzija ovog malvera od strane Google Play Protecta, koji je podrazumevano uključen na Android uređajima sa Google Play Services. Google Play Protect može da upozori korisnike ili blokira aplikacije za koje se zna da pokazuju zlonamerno ponašanje, čak i kada te aplikacije dođu iz izvora izvan Google Play.”

Foto: Pathum Danthanarayana | Unsplash