Một phiên bản mới của phần mềm gián điệp Android tinh vi mang tên Mandrake
Last updated
Was this helpful?
Last updated
Was this helpful?
Một phiên bản mới của phần mềm gián điệp Android tinh vi mang tên Mandrake đã được phát hiện trong 5 ứng dụng có sẵn, tải xuống từ Google Play Store và tồn tại mà không bị phát hiện.
Các ứng dụng này đã thu hút tổng cộng hơn 32.000 lượt cài đặt trước khi bị gỡ khỏi Store. Phần lớn các lượt tải xuống đến từ Canada, Đức, Ý, Mexico, Tây Ban Nha, Peru và Vương quốc Anh.
Các ứng dụng chứa Mandrake bao gồm:
AirFS (com.airft.ftrnsfr) Amber (com.shrp.sght) Astro Explorer (com.astro.dscvr) CryptoPulsing (com.cryptopulsing.browser)
Khi 1 trong các ứng dụng này được tải xuống thiết bị thành công, sẽ khởi chạy thành 3 giai đoạn tấn công:
Dropper: Khởi chạy một loader chịu trách nhiệm thực thi thành phần chính của phần mềm độc hại sau khi tải xuống và giải mã nó từ máy chủ command-and-control (C2).
Payload Giai Đoạn 2: Có khả năng thu thập thông tin về trạng thái kết nối của thiết bị, ứng dụng đã cài đặt, phần trăm pin, địa chỉ IP bên ngoài và phiên bản Google Play hiện tại. Hơn nữa, nó có thể xóa mô-đun cốt lõi và yêu cầu quyền để vẽ lớp phủ và chạy nền.
Payload Giai Đoạn 3: Hỗ trợ các lệnh bổ sung để tải một URL cụ thể trong WebView và bắt đầu một phiên chia sẻ màn hình từ xa cũng như ghi lại màn hình thiết bị với mục tiêu đánh cắp thông tin đăng nhập của nạn nhân và thả thêm phần mềm độc hại.
Google cho biết đang liên tục củng cố các biện pháp bảo vệ Google Play Protect (GPP). Người dùng Android được bảo vệ tự động bởi GPP trước các phiên bản đã bị phát hiện của phần mềm độc hại này. GPP có thể cảnh báo người dùng hoặc chặn các ứng dụng khi phát hiện ra có hành vi độc hại, ngay cả khi những ứng dụng đó đến từ các nguồn bên ngoài Store.
Group Whitehat/Facebook
