2020年首次發(fā)現(xiàn)的MandrakeAndroid軟件活動(dòng)似乎不受歡迎地卷土重來(lái)?？ò退够芯咳藛T在本周的一篇博客文章中報(bào)告稱(chēng)，他們今年4月在GooglePlay商店中發(fā)現(xiàn)了一個(gè)可疑樣本，似乎是該惡意軟件的新版本。經(jīng)過(guò)進(jìn)一步挖掘，他們發(fā)現(xiàn)了5個(gè)包含Mandrake惡意軟件的Android應(yīng)用程序，這些應(yīng)用程序已在商店中上架兩年。

研究人員表示，新版Mandrake已升級(jí)，具有多層混淆功能，可繞過(guò)GooglePlay檢查。因此，威脅行為者能夠在2022年將至少五個(gè)包含該惡意軟件的應(yīng)用程序偷偷帶入GooglePlay。

大多數(shù)受感染的應(yīng)用程序安裝次數(shù)不到1,000次，但假文件共享應(yīng)用程序AirFS的安裝次數(shù)超過(guò)30,000次。更麻煩的是，它在GooglePlay上一直可用，直到2024年3月才最終被刪除。以下是研究人員表示在GooglePlay上至少有一年的Mandrake應(yīng)用程序的完整列表：

AirFS–it9042通過(guò)Wi-Fi進(jìn)行文件共享(下載量30,305次)

Shevabad的AstroExplorer(718次下載)

Amber，作者：kodaslda(下載次數(shù)：19)

Shevabad的CryptoPulsing(790次下載)

kodaslda的《BrainMatrix》(下載量259次)

據(jù)卡巴斯基稱(chēng)，威脅行為者使用Mandrake竊取用戶(hù)憑證并下載和執(zhí)行下一階段的惡意應(yīng)用程序。如上所述，最新版本的Mandrake可以更好地向GooglePlay隱藏其真實(shí)意圖，這也解釋了這些受感染的應(yīng)用程序?yàn)楹文軌蛟贕oogle的應(yīng)用商店中隱藏這么久而不被發(fā)現(xiàn)。

卡巴斯基的兩名研究人員解釋道：“Mandrake軟件正在不斷進(jìn)化，改進(jìn)其隱藏、沙盒規(guī)避和繞過(guò)新防御機(jī)制的方法。在第一次活動(dòng)的應(yīng)用程序四年未被發(fā)現(xiàn)之后，當(dāng)前的活動(dòng)潛伏了兩年，但仍可在GooglePlay上下載。這凸顯了威脅行為者的強(qiáng)大技能，而且在應(yīng)用程序發(fā)布到市場(chǎng)之前對(duì)應(yīng)用程序進(jìn)行更嚴(yán)格的控制，只會(huì)導(dǎo)致更復(fù)雜、更難檢測(cè)的威脅潛入官方應(yīng)用程序市場(chǎng)。”

正如谷歌發(fā)言人之前告訴我們的那樣，只要您的設(shè)備上啟用了GooglePlayProtect，您就會(huì)免受此類(lèi)威脅。此外，這五款A(yù)ndroid應(yīng)用均已不再在GooglePlay上提供。

標(biāo)簽：