تم العثور على برنامج تجسس Mandrake جديد في تطبيقات متجر Google Play بعد عامين
نسخة جديدة من برنامج تجسس أندرويد متطور يسمى ماندريك تم اكتشافه في خمسة تطبيقات كانت متاحة للتنزيل من متجر Google Play وظلت غير مكتشفة لمدة عامين.
وقالت كاسبرسكي في مقال يوم الاثنين إن التطبيقات اجتذبت ما يزيد عن 32 ألف عملية تثبيت قبل أن يتم سحبها من واجهة متجر التطبيقات. جاءت غالبية التنزيلات من كندا وألمانيا وإيطاليا والمكسيك وإسبانيا وبيرو والمملكة المتحدة
“تتضمن العينات الجديدة طبقات جديدة من تقنيات التشويش والتهرب، مثل نقل الوظائف الضارة إلى المكتبات الأصلية المبهمة، واستخدام تثبيت الشهادة لاتصالات C2، وإجراء مجموعة واسعة من الاختبارات للتحقق مما إذا كان Mandrake يعمل على جهاز جذر أو في بيئة مقلدة”، الباحثان تاتيانا شيشكوفا وإيجور جولوفين قال.
كان ماندريك تم توثيقه لأول مرة بواسطة شركة الأمن السيبراني الرومانية Bitdefender في مايو 2020، واصفة نهجها المتعمد لإصابة عدد قليل من الأجهزة أثناء تمكنها من البقاء في الظل منذ عام 2016.
تتميز المتغيرات المحدثة باستخدام أولفم لإخفاء الوظيفة الرئيسية، مع دمج أيضًا مجموعة من تقنيات التهرب من وضع الحماية وتقنيات مكافحة التحليل لمنع تنفيذ التعليمات البرمجية في البيئات التي يديرها محللو البرامج الضارة.
قائمة التطبيقات التي تحتوي على Mandrake هي أدناه –
- إيرفس (com.airft.ftrnsfr)
- العنبر (com.shrp.sght)
- أسترو إكسبلورر (com.astro.dscvr)
- مصفوفة الدماغ (com.brnmth.mtrx)
- كريبتوبولسينج (com.cryptopulsing.browser)
تتكون حزمة التطبيقات من ثلاث مراحل: قطارة تطلق أداة تحميل مسؤولة عن تنفيذ المكون الأساسي للبرامج الضارة بعد تنزيلها وفك تشفيرها من خادم الأوامر والتحكم (C2).
حمولة المرحلة الثانية قادرة أيضًا على جمع معلومات حول حالة اتصال الجهاز والتطبيقات المثبتة ونسبة البطارية وعنوان IP الخارجي وإصدار Google Play الحالي. علاوة على ذلك، يمكنه مسح الوحدة الأساسية وطلب أذونات لرسم التراكبات وتشغيلها في الخلفية.
تدعم المرحلة الثالثة أوامر إضافية لتحميل عنوان URL محدد في WebView وبدء جلسة مشاركة الشاشة عن بعد بالإضافة إلى تسجيل شاشة الجهاز بهدف سرقة بيانات اعتماد الضحايا وإسقاط المزيد من البرامج الضارة.
وقال الباحثون: “قدم Android 13 ميزة “الإعدادات المقيدة”، التي تمنع التطبيقات المحملة جانبيًا من طلب أذونات خطيرة مباشرة”. “لتجاوز هذه الميزة، يقوم Mandrake بمعالجة التثبيت باستخدام ملف “على أساس الجلسة.”‘ تنصيب المجموعه.”
وصفت شركة الأمن الروسية Mandrake بأنه مثال على التهديد المتطور ديناميكيًا والذي يعمل باستمرار على تحسين مهاراته التجارية لتجاوز آليات الدفاع والتهرب من الكشف.
وأضافت: “هذا يسلط الضوء على المهارات الهائلة التي يتمتع بها القائمون على التهديد، وكذلك أن الضوابط الأكثر صرامة على التطبيقات قبل نشرها في الأسواق لا تؤدي إلا إلى تهديدات أكثر تعقيدًا ويصعب اكتشافها تتسلل إلى أسواق التطبيقات الرسمية”.
عند الوصول للتعليق، أخبرت Google The Hacker News أنها تعمل باستمرار على تعزيز دفاعات Google Play Protect مع وضع علامة على التطبيقات الضارة الجديدة وأنها تعمل على تعزيز قدراتها لتشمل الكشف المباشر عن التهديدات لمعالجة تقنيات التشويش ومكافحة التهرب.
وقال متحدث باسم جوجل: “يتم حماية مستخدمي أندرويد تلقائيًا من الإصدارات المعروفة من هذه البرامج الضارة بواسطة Google Play Protect، والذي يتم تشغيله افتراضيًا على أجهزة أندرويد المزودة بخدمات Google Play”. “يمكن لـ Google Play Protect تحذير المستخدمين أو حظر التطبيقات المعروفة بأنها تظهر سلوكًا ضارًا، حتى عندما تأتي هذه التطبيقات من مصادر خارج Play.”
إرسال التعليق