Android: Μολυσμένες εφαρμογές υπήρχαν στο Google Play εδώ και δύο χρόνια
Μια νέα παραλλαγή του επικίνδυνου κατασκοπευτικού Android λογισμικού «Mandrake» ανακαλύφθηκε κρυμμένη μέσα σε πέντε εφαρμογές που ήταν διαθέσιμες κανονικά στο Google Play, καταφέρνοντας να συγκεντρώσουν χιλιάδες λήψεις. Μάλιστα μια από αυτές ήταν διαθέσιμη μέσα από το κατάστημα από το 2022!
Η αποκάλυψη αυτή, που ήρθε στο φως από την Kaspersky, αναδεικνύει τις εξελιγμένες μεθόδους που χρησιμοποιεί το κακόβουλο λογισμικό πλέον για να αποφύγει τον εντοπισμό και να προκαλέσει σημαντική ζημιά. Η πιο γνωστή από αυτές τις εφαρμογές, το AirFS, είδε τον μεγαλύτερο αριθμό μολύνσεων πριν από την αφαίρεσή της τον Μάρτιο του 2024.
Οι εφαρμογές που ήταν μολυσμένες με το εν λόγω κακόβουλο λογισμικό είναι οι εξής:
- AirFS - File sharing via Wi-Fi από τον it9042 (30.305 λήψεις μεταξύ 28 Απριλίου 2022 και 15 Μαρτίου 2024)
- Astro Explorer από τον shevabad (718 λήψεις από τις 30 Μαΐου 2022 έως τις 6 Ιουνίου 2023)
- Amber από τον kodaslda (19 λήψεις μεταξύ 27 Φεβρουαρίου 2022 και 19 Αυγούστου 2023)
- CryptoPulsing από τον shevabad (790 λήψεις από 2 Νοεμβρίου 2022 έως 6 Ιουνίου 2023)
- Brain Matrix από τον kodaslda (259 λήψεις μεταξύ 27 Απριλίου 2022 και 6 Ιουνίου 2023)
Οι πέντε αυτές μολυσμένες εφαρμογές παρέμειναν στην πλατφόρμα για περισσότερο από ένα χρόνο, επηρεάζοντας χρήστες κυρίως στον Καναδά, τη Γερμανία, την Ιταλία, το Μεξικό, την Ισπανία, το Περού και το Ηνωμένο Βασίλειο.
Το Mandrake, που καταγράφηκε για πρώτη φορά από την Bitdefender το 2020, είναι ενεργό τουλάχιστον από το 2016, παρουσιάζοντας προηγμένες δυνατότητες κατασκοπείας και η τελευταία του έκδοση απέφευγε την ανίχνευση με εξαιρετικά προηγμένες τεχνικές. Ειδικότερα, η στρατηγική αποφυγής του Mandrake περιλαμβάνει την απόκρυψη του αρχικού payload του σε μια εγγενή βιβλιοθήκη που ονομάζεται «libopencv_dnn.so», η οποία είναι σε μεγάλο βαθμό κρυμμένη. Κατά την εγκατάσταση, αυτή η βιβλιοθήκη αποκρυπτογραφεί και φορτώνει τα επόμενα στάδια του κακόβουλου λογισμικού, δημιουργώντας τελικά επικοινωνία με έναν server εντολών και ελέγχου. Αυτή η σύνδεση επιτρέπει στο spyware να εκτελεί διάφορες κακόβουλες δραστηριότητες, όπως συλλογή δεδομένων, καταγραφή της οθόνης του χρήστη και εκτέλεση εντολών, μεταξύ άλλων. Το κακόβουλο λογισμικό εξαπατά επίσης τους χρήστες ώστε να εγκαταστήσουν περαιτέρω κακόβουλα αρχεία, μιμούμενο ειδοποιήσεις από το Google Play.
Παρά την αφαίρεση των εφαρμογών που εντοπίστηκαν βέβαια, η απειλή του Mandrake εξακολουθεί να υφίσταται. Για άλλη μια φορά λοιπόν, συνιστάται στους χρήστες να εγκαθιστούν εφαρμογές μόνο από αξιόπιστες πηγές, να εξετάζουν προσεκτικά τα σχόλια των άλλων χρηστών, να αποφεύγουν να χορηγούν περιττές άδειες και να διασφαλίζουν ότι το Play Protect είναι ενεργό.
Η Google, με αφορμή την δημοσίευση της Kaspersky, τόνισε τις συνεχείς βελτιώσεις που κάνει στο Google Play Protect, συμπεριλαμβανομένων των επερχόμενων χαρακτηριστικών ανίχνευσης ζωντανών απειλών για την αντιμετώπιση διαφορών τεχνικών παράκαμψης.
Ακολουθήστε το Unboxholics.com στο Google News για να μαθαίνετε πρώτοι τα τελευταία νέα για τεχνολογία, videogames, ταινίες και σειρές. Ακολουθήστε το Unboxholics.com σε Facebook, Twitter, Instagram, Spotify και TikTok.