Spyware Hiding in the Google Play Store for Four Years

НСК-СБ

Staff member
Private access level
Full members of NP "MOD"
Joined
Jul 14, 2011
Messages
2,728
Reaction score
1,984
Points
613
Location
Новосибирск
Spyware has been hiding in the Google Play Store for four years.

The malware disguised itself as various legitimate applications.
image


Bitdefender Specialists told about a malware campaign in which the spyware malware, dubbed Mandrake, hid for four years in the Google Play Store under the guise of a Coinbase cryptocurrency wallet, Gmail, Google Chrome browser, XE, PayPal currency conversion service, as well as Amazon applications and various banks in Australia and Germany.

The malware has a complex structure that allows its operators to avoid detection using conventional scanning. Disguised as legitimate applications, Mandrake allowed its operators to monitor almost all of the victim’s actions on a mobile device. As soon as the victim installed a malicious application, the loader component downloaded malware onto the device.

Unlike conventional bootloaders, Mandrake bootloaders can remotely turn on Wi-Fi, collect device information, hide their presence and notifications, and automatically install new applications. The components of one of the Mandrake bootloaders, presented to users under the guise of CAPTCHA, helped the malware avoid detection. They could determine if the program was running in a virtual machine or emulator.

Mandrake malware installation allowed to completely compromise the target device by providing administrator privileges for sending all incoming SMS messages to the server of malware operators or to a specified number, sending texts, making calls, stealing information from the contact list, activating and recording GPS coordinates, credential theft Facebook data and financial applications, recording a screen and initiating a factory reset to erase all user data and the malicious program itself in the process.

According to experts, the number of victims can be tens of thousands, however, in each case, the attack was initiated by operators, and not fully automated, as many families of malicious programs do.

The experts analyzed malware-related developer accounts on the Google Play Store and identified a Russian freelance developer hiding behind a network of fake company websites, stolen IDs and email addresses, and fake North America job advertisements.


Spyware Hiding in the Google Play Store for Four Years
 
Original message
Шпионское ПО на протяжении четырех лет скрывалось в Google Play Store.

Вредонос маскировался под видом различных легитимных приложений.
image


Специалисты из компании Bitdefender рассказали о вредоносной кампании, в рамках которой шпионское вредоносное ПО, получившее название Mandrake, на протяжении четырех лет скрывалось в магазине Google Play Store под видом криптовалютного кошелька Coinbase, Gmail, браузера Google Chrome, сервиса конвертации валют XE, PayPal, а также приложений Amazon и различных банков Австралии и Германии.

Вредонос имеет сложную структуру, позволяющую его операторам избегать обнаружения с помощью обычного сканирования. Замаскированный под легитимные приложения, Mandrake позволял своим операторам следить практически за всеми действиями жертвы на мобильном устройстве. Как только жертва устанавливала вредоносное приложение, компонент-загрузчик загружал на устройство вредонос.

В отличие от обычных загрузчиков, загрузчики Mandrake способны удаленно включать Wi-Fi, собирать информацию об устройстве, скрывать свое присутствие и уведомления, а также автоматически устанавливать новые приложения. Компоненты одного из загрузчиков Mandrake, представленные пользователям под видом CAPTCHA, помогали вредоносной программе избежать обнаружения. Они могли определить, запускалась ли программа на виртуальной машине или эмуляторе.

Установка вредоносного ПО Mandrake позволяло полностью скомпрометировать целевое устройство, предоставив привилегии администратора для пересылки всех входящих SMS-сообщений на сервер операторов вредоноса или на указанный номер, отправки текстов, совершения звонков, кражи информации из списка контактов, активации и записи GPS-координат, кражи учетных данных Facebook и финансовых приложений, запись экрана и инициирование сброса к заводским настройкам с целью стереть все пользовательские данные и саму вредоносную программу в процессе.

По словам специалистов, число жертв может исчисляться десятками тысяч, однако в каждом случае атака была инициирована операторами, а не полностью автоматизирована, как это делают многие семейства вредоносных программ.

Эксперты проанализировали учетные записи разработчиков в Google Play Store, связанные с вредоносом, и выявили российского внештатного разработчика, скрывающегося за сетью поддельных web-сайтов компании, похищенных удостоверений личности и адресов электронной почты, а также поддельных объявлений о работе в Северной Америке.


Шпионское ПО на протяжении четырех лет скрывалось в Google Play Store
Last edited by a moderator:

Матушкин Андрей Николаевич

Президент IAPD
Staff member
Private access level
Full members of NP "MOD"
Joined
Jan 1, 1970
Messages
19,689
Reaction score
1,370
Points
113
Age
49
Location
Россия,
Website
o-d-b.ru
The experts analyzed malware-related developer accounts on the Google Play Store and identified a Russian freelance developer hiding behind a network of fake company websites, stolen IDs and email addresses, and fake North America job advertisements.
Thank. An extremely interesting article.
 
Original message
Эксперты проанализировали учетные записи разработчиков в Google Play Store, связанные с вредоносом, и выявили российского внештатного разработчика, скрывающегося за сетью поддельных web-сайтов компании, похищенных удостоверений личности и адресов электронной почты, а также поддельных объявлений о работе в Северной Америке.
Спасибо. Крайне интересная статья.

Марат (МОД)

Помощник президента IAPD.
Staff member
Private access level
Full members of NP "MOD"
St. Petersburg section IAPD
Joined
Apr 16, 2020
Messages
127
Reaction score
74
Points
28
Age
29
Location
Санкт-Петербург
On Android platforms, in my opinion, for a long time it is not clear what is going on, besides Google (and, of course, immediately raised hype about this, as no one knew), a lot of third-party software transmitting this or that information is not clear where. A striking example is an application that allows you to find out how you are clogged up with friends on the phone, which ultimately merges an unreal amount of information
 
Original message
На Android платформах, по моему, уже давно не понятно что твориться, помимо гугла ( и естественно, сразу же поднятой шумихи по этому поводу- как так никто ж не знал) куча стороннего ПО передающего ту или иную информацию непонятно куда. Яркий пример- приложение позволяющее узнать как же ты забит в телефоне у друзей, в итоге сливающей нереальное количество информации

Детектив-Молдова

Private access level
Full members of NP "MOD"
Joined
Nov 24, 2010
Messages
1,930
Reaction score
379
Points
83
Age
58
Location
Молдова, Кишинев, тел.(Viber): +37369270011
Website
adp-dia.com
In short, we pay money ourselves so that we are followed ... not good uncles))))
 
Original message
Короче, сами платим деньги, чтобы за нами следили... ни хорошие дядьки ))))
Similar threads
Thread starter Title Forum Replies Date
root How Russia is threatened by "egregious threats" Google Information Security. 0
root Critical iOS bug made it easy to jailbreak iPhone over Wi-Fi Information Security. 0
НСК-СБ Google provides police with user data by keywords Information Security. 1
НСК-СБ Chinese spyware downloaded from the Google Play Store over 150 million times Information Security. 1
DronVR Google Doesn’t Fix Dangerous Vulnerabilities in Google Authenticator for Years Interesting articles and notes. 0
root 5 search engines that are better than Google Information Security. 1
root Google how to search correctly? Information Security. 0
НСК-СБ Following Google Docs: Avoiding Corporate Document Leaks Information Security. 1
НСК-СБ Major lawsuits filed against Facebook, Google, Instagram and WhatsApp on first day of GDPR era Miscellaneous. Other interesting topics. 0
Демитрий Telegram lock on Google Play can be easily circumvented Information Security. 0
Детективное агентство Тула The Moscow City Court fined Google for reading personal mail Information Security. 10
Матушкин Андрей Николаевич Patrushev criticized officials for using Google and Interesting articles and notes. 9
Матушкин Андрей Николаевич 9 rules for finding information on GOOGLE, about which 96% are not aware Interesting articles and notes. 19
Матушкин Андрей Николаевич Total control. The truth about Google. Video channels of members of the Association and other interesting video materials. 15
Юридическая Компания Лидер European Union requires Google to change the way personal information is collected Other interesting topics. 4
Детективное агентство ИКС-Инфо. GOOGLE SPREADED IN Espionage For Britons Interesting articles and notes. 5
НСК-СБ Google discovered 20 thousand malicious websites Information Security. 7
Гудимов Анатолий Геннадиевич Founder of Google "Facebook and Apple - Stranglers of Freedom." Interesting articles and notes. 5
Гудимов Анатолий Геннадиевич Google is suspected of espionage activities. Interesting articles and notes. 16
Детективное агентство ИКС-Инфо. Google introduces new privacy policy Use of high technology intelligence and counterintelligence. 12
Игорь Коракс Google X: Google's secret lab secret revealed Caution! High tech. 9
НСК-СБ What do special services require from Google? Interesting articles and notes. Interested articles and notes. 11
Игорь Коракс The new Google service will allow you to find information about a person. Caution! High tech. 3
Детективное агентство Симферополь Google launched a new social network Caution! High tech. 2
ИнфоПоиск The head of Google opposed the secrets of privacy Caution! High tech. 1
ИнфоПоиск The Chinese government did not hack Google Hackers. 1
ИнфоПоиск Chinese authorities renew Google license Caution! High tech. 1

Similar threads