Atak aplikacji z groźnym malware w Play Store. Nie wykryto ich przez lata

Zdarza się, że mimo stosowania zabezpieczeń do Play Store przedostaną się niebezpieczne aplikacje. Gorzej jednak gdy ich wykrycie oraz usunięcie zajmie lata, tak jak było w tym przypadku.

Dwa lata zajęło odszukanie aplikacji wyposażonych w złośliwe oprogramowanie i co ciekawe za bardzo się one nie ukrywały. Były to programy oficjalnie służące do udostępniania plików, astronomii i kryptowalut, a w praktyce posiadały inwazyjnego malware o nazwie Mandrake. Jakby tego było mało, nie jest to pierwsza inwazja przytoczonego malware, więc Google powinno ogarnąć temat, aczkolwiek nie zrobiło tego przez parę lat.

Aplikacje zawierające malware Mandrake były dostępne przez dwa lata w Play Store. Wcześniej także pojawiały się na popularnej platformie i z powodzeniem pozostawały niewykryte.

Poprzednie kampanie miały miejsce w latach 2016-17 i 2018-2020. Zdolność Mandrake do bycia niezauważonym była wówczas wynikiem kilku niezwykle rygorystycznych działań ze strony jego twórców i dystrybutorów tych aplikacji. Oczywiście wykorzystali oni głównie słabości systemu zabezpieczeń Play Store.

Ponadto oprogramowanie nie funkcjonuje w 90 krajach, zaś całość była dostarczana dokładnie do wybranych celów. Dodatkowo nie zabrakło "kill switch", który kasuje wszelkie ślady aktywności. No i same aplikacje są w pełni funkcjonalne, co jedynie zmyla użytkownika.

Po raporcie Bitdefender z 2020 r. aplikacje zainfekowane Mandrake wydawały się znikać z Play Store. Teraz firma zajmująca się bezpieczeństwem Kaspersky poinformowała, iż ​​aplikacje pojawiły się ponownie. Tym razem zastosowano nowe rozwiązania mające utrudnić wykrycie.

Celem twórców złośliwych aplikacji była kradzież danych uwierzytelniających użytkowników, a także automatycznie pobieranie i uruchamianie innych groźnych usług.

Oprogramowanie zdobywa dane, nagrywając ekran urządzenia podczas wprowadzania loginu i hasła. Jak na razie nie ma sygnałów, by to złośliwe malware wróciło i oby tak zostało.