В Google Play в течение двух лет распространялись приложения со шпионским троянцем

Эксперты «Лаборатории Касперского» обнаружили новую версию Mandrake — шпионского троянца для Android. Она распространялась через Google Play с 2022 по 2024 год под видом пяти разных приложений. Они были доступны во многих странах мира. Суммарно их скачали как минимум 32 тысячи раз. На данный момент вредоносные программы удалены из стора.

Как распространяется?

Новая версия зловреда распространялась под видом приложения для отслеживания курса криптовалют, а также двух игр, астрономического сервиса, посвящённого теме космоса, и файлообменника. Больше всего скачиваний набрал фальшивый файлообменник — более 30 тысяч. В отзывах люди писали, что программа не работает либо крадёт данные на устройстве.

Почему вредоносное ПО попала в официальный магазин Google?

Mandrake активен с 2016 года, ранее этот троянец уже находили в Google Play. Его новая версия отличается высокой сложностью с технической точки зрения. При этом злоумышленники находят пути обхода модерации.

Основное отличие новой версии Mandrake в том, что злоумышленники внедрили дополнительные технологии запутывания кода (обфускации) и затруднения анализа, чтобы обойти модерацию в Google Play и усложнить анализ зловреда. Более того, Mandrake умеет проверять устройство, на котором запущен, на наличие индикаторов известных песочниц, а также инструментов отладки, определять страну пользователя и его мобильного оператора, «видеть» набор установленных приложений. Троянец загружает на устройство и запускает основной вредоносный модуль с командного сервера только в том случае, если владелец смартфона по набору признаков оказывается интересным для атакующих.

Чтобы не столкнуться с подобным вредоносным приложением, эксперты по информационной безопасности рекомендуют владельцам смартфонов:

- прежде чем скачать приложение даже с официальной площадки, обязательно почитайте отзывы о нём и посмотрите оценки;

- используйте надёжные защитные решения, в том числе и на мобильных устройствах.