Spyware has been hiding in the Google Play Store for four years.
The malware disguised itself as various legitimate applications.
Bitdefender Specialists told about a malware campaign in which the spyware malware, dubbed Mandrake, hid for four years in the Google Play Store under the guise of a Coinbase cryptocurrency wallet, Gmail, Google Chrome browser, XE, PayPal currency conversion service, as well as Amazon applications and various banks in Australia and Germany.
The malware has a complex structure that allows its operators to avoid detection using conventional scanning. Disguised as legitimate applications, Mandrake allowed its operators to monitor almost all of the victim’s actions on a mobile device. As soon as the victim installed a malicious application, the loader component downloaded malware onto the device.
Unlike conventional bootloaders, Mandrake bootloaders can remotely turn on Wi-Fi, collect device information, hide their presence and notifications, and automatically install new applications. The components of one of the Mandrake bootloaders, presented to users under the guise of CAPTCHA, helped the malware avoid detection. They could determine if the program was running in a virtual machine or emulator.
Mandrake malware installation allowed to completely compromise the target device by providing administrator privileges for sending all incoming SMS messages to the server of malware operators or to a specified number, sending texts, making calls, stealing information from the contact list, activating and recording GPS coordinates, credential theft Facebook data and financial applications, recording a screen and initiating a factory reset to erase all user data and the malicious program itself in the process.
According to experts, the number of victims can be tens of thousands, however, in each case, the attack was initiated by operators, and not fully automated, as many families of malicious programs do.
The experts analyzed malware-related developer accounts on the Google Play Store and identified a Russian freelance developer hiding behind a network of fake company websites, stolen IDs and email addresses, and fake North America job advertisements.
Spyware Hiding in the Google Play Store for Four Years
The malware disguised itself as various legitimate applications.
Bitdefender Specialists told about a malware campaign in which the spyware malware, dubbed Mandrake, hid for four years in the Google Play Store under the guise of a Coinbase cryptocurrency wallet, Gmail, Google Chrome browser, XE, PayPal currency conversion service, as well as Amazon applications and various banks in Australia and Germany.
The malware has a complex structure that allows its operators to avoid detection using conventional scanning. Disguised as legitimate applications, Mandrake allowed its operators to monitor almost all of the victim’s actions on a mobile device. As soon as the victim installed a malicious application, the loader component downloaded malware onto the device.
Unlike conventional bootloaders, Mandrake bootloaders can remotely turn on Wi-Fi, collect device information, hide their presence and notifications, and automatically install new applications. The components of one of the Mandrake bootloaders, presented to users under the guise of CAPTCHA, helped the malware avoid detection. They could determine if the program was running in a virtual machine or emulator.
Mandrake malware installation allowed to completely compromise the target device by providing administrator privileges for sending all incoming SMS messages to the server of malware operators or to a specified number, sending texts, making calls, stealing information from the contact list, activating and recording GPS coordinates, credential theft Facebook data and financial applications, recording a screen and initiating a factory reset to erase all user data and the malicious program itself in the process.
According to experts, the number of victims can be tens of thousands, however, in each case, the attack was initiated by operators, and not fully automated, as many families of malicious programs do.
The experts analyzed malware-related developer accounts on the Google Play Store and identified a Russian freelance developer hiding behind a network of fake company websites, stolen IDs and email addresses, and fake North America job advertisements.
Spyware Hiding in the Google Play Store for Four Years
Original message
Шпионское ПО на протяжении четырех лет скрывалось в Google Play Store.
Вредонос маскировался под видом различных легитимных приложений.
Специалисты из компании Bitdefender рассказали о вредоносной кампании, в рамках которой шпионское вредоносное ПО, получившее название Mandrake, на протяжении четырех лет скрывалось в магазине Google Play Store под видом криптовалютного кошелька Coinbase, Gmail, браузера Google Chrome, сервиса конвертации валют XE, PayPal, а также приложений Amazon и различных банков Австралии и Германии.
Вредонос имеет сложную структуру, позволяющую его операторам избегать обнаружения с помощью обычного сканирования. Замаскированный под легитимные приложения, Mandrake позволял своим операторам следить практически за всеми действиями жертвы на мобильном устройстве. Как только жертва устанавливала вредоносное приложение, компонент-загрузчик загружал на устройство вредонос.
В отличие от обычных загрузчиков, загрузчики Mandrake способны удаленно включать Wi-Fi, собирать информацию об устройстве, скрывать свое присутствие и уведомления, а также автоматически устанавливать новые приложения. Компоненты одного из загрузчиков Mandrake, представленные пользователям под видом CAPTCHA, помогали вредоносной программе избежать обнаружения. Они могли определить, запускалась ли программа на виртуальной машине или эмуляторе.
Установка вредоносного ПО Mandrake позволяло полностью скомпрометировать целевое устройство, предоставив привилегии администратора для пересылки всех входящих SMS-сообщений на сервер операторов вредоноса или на указанный номер, отправки текстов, совершения звонков, кражи информации из списка контактов, активации и записи GPS-координат, кражи учетных данных Facebook и финансовых приложений, запись экрана и инициирование сброса к заводским настройкам с целью стереть все пользовательские данные и саму вредоносную программу в процессе.
По словам специалистов, число жертв может исчисляться десятками тысяч, однако в каждом случае атака была инициирована операторами, а не полностью автоматизирована, как это делают многие семейства вредоносных программ.
Эксперты проанализировали учетные записи разработчиков в Google Play Store, связанные с вредоносом, и выявили российского внештатного разработчика, скрывающегося за сетью поддельных web-сайтов компании, похищенных удостоверений личности и адресов электронной почты, а также поддельных объявлений о работе в Северной Америке.
Шпионское ПО на протяжении четырех лет скрывалось в Google Play Store
Вредонос маскировался под видом различных легитимных приложений.
Специалисты из компании Bitdefender рассказали о вредоносной кампании, в рамках которой шпионское вредоносное ПО, получившее название Mandrake, на протяжении четырех лет скрывалось в магазине Google Play Store под видом криптовалютного кошелька Coinbase, Gmail, браузера Google Chrome, сервиса конвертации валют XE, PayPal, а также приложений Amazon и различных банков Австралии и Германии.
Вредонос имеет сложную структуру, позволяющую его операторам избегать обнаружения с помощью обычного сканирования. Замаскированный под легитимные приложения, Mandrake позволял своим операторам следить практически за всеми действиями жертвы на мобильном устройстве. Как только жертва устанавливала вредоносное приложение, компонент-загрузчик загружал на устройство вредонос.
В отличие от обычных загрузчиков, загрузчики Mandrake способны удаленно включать Wi-Fi, собирать информацию об устройстве, скрывать свое присутствие и уведомления, а также автоматически устанавливать новые приложения. Компоненты одного из загрузчиков Mandrake, представленные пользователям под видом CAPTCHA, помогали вредоносной программе избежать обнаружения. Они могли определить, запускалась ли программа на виртуальной машине или эмуляторе.
Установка вредоносного ПО Mandrake позволяло полностью скомпрометировать целевое устройство, предоставив привилегии администратора для пересылки всех входящих SMS-сообщений на сервер операторов вредоноса или на указанный номер, отправки текстов, совершения звонков, кражи информации из списка контактов, активации и записи GPS-координат, кражи учетных данных Facebook и финансовых приложений, запись экрана и инициирование сброса к заводским настройкам с целью стереть все пользовательские данные и саму вредоносную программу в процессе.
По словам специалистов, число жертв может исчисляться десятками тысяч, однако в каждом случае атака была инициирована операторами, а не полностью автоматизирована, как это делают многие семейства вредоносных программ.
Эксперты проанализировали учетные записи разработчиков в Google Play Store, связанные с вредоносом, и выявили российского внештатного разработчика, скрывающегося за сетью поддельных web-сайтов компании, похищенных удостоверений личности и адресов электронной почты, а также поддельных объявлений о работе в Северной Америке.
Шпионское ПО на протяжении четырех лет скрывалось в Google Play Store
التعديل الأخير بواسطة المشرف: