В Google Play два года скрывалась широко известная шпионская программа
В нескольких невинных с виду приложениях под Android, размещенных в официальном магазине Google Play, в течение двух лет пряталась шпионская программа Mandrake, известная с 2020 г. Эксперты считают, что чем лучше защита Google Play, тем более хитроумные вредоносы будут туда проникать.
Вирус исключительной продвинутости
Эксперты «Лаборатории Касперского» заявляют, что выявили в Google Play приложения, содержащие ранее неизвестную версию шпионского ПО Mandrake. По данным специалистов, эти приложения пребывают в Google Play не менее двух лет и скачали их уже не менее 32 тыс. раз. Жертвами стали пользователи в Канаде, Германии, Италии, Мексике, Испании, Перу и Великобритании. У вируса немало способов нанесения вреда: от скрытной трансляции экрана до кражи реквизитов владельца смартфона.
Mandrake впервые был обнаружен в 2020 г. румынской фирмой Bitdefender. Ее специалисты определили его как «исключительно продвинутый вредонос под Android». Они также отметили, что еще до своего обнаружения этот вредонос был активен не менее четырех лет и количество его жертв уже тогда исчислялось сотнями тысяч.
Новая версия выявлена в пяти разных приложениях под Android: в программе для изучения астрономии, для тренировки памяти, клиенте файлообменного сервиса, игре и платформе для работы с криптовалютами. Они исчезли из Google Play только в конце марта 2024 г. после двух лет доступности.
Криминальные возможности
Попав на устройство, новая версия Mandrake начинает со сбора данных об устройстве, таких как список установленных приложений, данные мобильной сети, IP-адрес и уникальный идентификатор. Если операторы приходят к выводу, что устройство и его обладатель представляют для них интерес, запускается основной компонент вредоноса, который может принудительно включать WiFi, начать скрытную трансляцию экрана, открывать удаленный доступ к нему и красть реквизиты доступа к различным аккаунтам и сетевым ресурсам.
По информации Bitdefender, операторы избегают атаковать жителей африканских стран, бывших республик СССР, а также арабоговорящих государств.
Происхождение вредоноса точно неизвестно, однако и в Bitdefender и в Kaspersky считают, что его могли написать в РФ.
Подобные угрозы не искоренить
Согласно публикации Kaspersky, Mandrake постоянно эволюционирует, приобретая новые функции скрытности и обхода механизмов защиты. Тот факт, что вредонос на протяжении двух лет не могли обнаружить, говорит о высокой квалификации злоумышленников. При этом в публикации отмечается, что повышение уровня защиты, усиление ограничений и контроля приложений до публикации приводит, помимо прочего, к тому, что в официальные магазины вредоносы продолжают проникать, но лишь самые продвинутые и труднообнаруживаемые.
«Абсолютная защищенность от ухищрений киберзлоумышленников вряд ли возможна, хотя Google предпринимает значительные усилия, чтобы снизить вероятность попадания подобных вредоносов в Google Play, – отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Сами по себе невинные с виду приложения по своему характеру в большинстве похожи на развлекательные безделушки, и скорее всего, они подсаживались на смартфоны жертв через фишинг. И здесь сразу видны два способа профилактики для конечных пользователей: избегать установки ненужных приложений и учиться выявлять фишинговые сообщения».
В Google заявили, что усилили защиту от подобных приложений, вне зависимости от их источника.