Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Spyware Hiding in the Google Play Store for Four Years

НСК-СБ

Miembro del equipo
Nivel de acceso privado
Full members of NP "MOD"
Registrado
14 Jul 2011
Mensajes
3.180
Puntuación de reacción
2.181
Puntos
613
Ubicación
Новосибирск
Spyware has been hiding in the Google Play Store for four years.

The malware disguised itself as various legitimate applications.
image


Bitdefender Specialists told about a malware campaign in which the spyware malware, dubbed Mandrake, hid for four years in the Google Play Store under the guise of a Coinbase cryptocurrency wallet, Gmail, Google Chrome browser, XE, PayPal currency conversion service, as well as Amazon applications and various banks in Australia and Germany.

The malware has a complex structure that allows its operators to avoid detection using conventional scanning. Disguised as legitimate applications, Mandrake allowed its operators to monitor almost all of the victim’s actions on a mobile device. As soon as the victim installed a malicious application, the loader component downloaded malware onto the device.

Unlike conventional bootloaders, Mandrake bootloaders can remotely turn on Wi-Fi, collect device information, hide their presence and notifications, and automatically install new applications. The components of one of the Mandrake bootloaders, presented to users under the guise of CAPTCHA, helped the malware avoid detection. They could determine if the program was running in a virtual machine or emulator.

Mandrake malware installation allowed to completely compromise the target device by providing administrator privileges for sending all incoming SMS messages to the server of malware operators or to a specified number, sending texts, making calls, stealing information from the contact list, activating and recording GPS coordinates, credential theft Facebook data and financial applications, recording a screen and initiating a factory reset to erase all user data and the malicious program itself in the process.

According to experts, the number of victims can be tens of thousands, however, in each case, the attack was initiated by operators, and not fully automated, as many families of malicious programs do.

The experts analyzed malware-related developer accounts on the Google Play Store and identified a Russian freelance developer hiding behind a network of fake company websites, stolen IDs and email addresses, and fake North America job advertisements.


Spyware Hiding in the Google Play Store for Four Years
 
Original message
Шпионское ПО на протяжении четырех лет скрывалось в Google Play Store.

Вредонос маскировался под видом различных легитимных приложений.
image


Специалисты из компании Bitdefender рассказали о вредоносной кампании, в рамках которой шпионское вредоносное ПО, получившее название Mandrake, на протяжении четырех лет скрывалось в магазине Google Play Store под видом криптовалютного кошелька Coinbase, Gmail, браузера Google Chrome, сервиса конвертации валют XE, PayPal, а также приложений Amazon и различных банков Австралии и Германии.

Вредонос имеет сложную структуру, позволяющую его операторам избегать обнаружения с помощью обычного сканирования. Замаскированный под легитимные приложения, Mandrake позволял своим операторам следить практически за всеми действиями жертвы на мобильном устройстве. Как только жертва устанавливала вредоносное приложение, компонент-загрузчик загружал на устройство вредонос.

В отличие от обычных загрузчиков, загрузчики Mandrake способны удаленно включать Wi-Fi, собирать информацию об устройстве, скрывать свое присутствие и уведомления, а также автоматически устанавливать новые приложения. Компоненты одного из загрузчиков Mandrake, представленные пользователям под видом CAPTCHA, помогали вредоносной программе избежать обнаружения. Они могли определить, запускалась ли программа на виртуальной машине или эмуляторе.

Установка вредоносного ПО Mandrake позволяло полностью скомпрометировать целевое устройство, предоставив привилегии администратора для пересылки всех входящих SMS-сообщений на сервер операторов вредоноса или на указанный номер, отправки текстов, совершения звонков, кражи информации из списка контактов, активации и записи GPS-координат, кражи учетных данных Facebook и финансовых приложений, запись экрана и инициирование сброса к заводским настройкам с целью стереть все пользовательские данные и саму вредоносную программу в процессе.

По словам специалистов, число жертв может исчисляться десятками тысяч, однако в каждом случае атака была инициирована операторами, а не полностью автоматизирована, как это делают многие семейства вредоносных программ.

Эксперты проанализировали учетные записи разработчиков в Google Play Store, связанные с вредоносом, и выявили российского внештатного разработчика, скрывающегося за сетью поддельных web-сайтов компании, похищенных удостоверений личности и адресов электронной почты, а также поддельных объявлений о работе в Северной Америке.


Шпионское ПО на протяжении четырех лет скрывалось в Google Play Store
Última edición por un moderador:

Матушкин Андрей Николаевич

Президент IAPD
Miembro del equipo
Nivel de acceso privado
Full members of NP "MOD"
Registrado
1 Ene 1970
Mensajes
22.023
Puntuación de reacción
3.773
Puntos
113
Edad
53
Ubicación
Россия,
Sitio web
o-d-b.ru
The experts analyzed malware-related developer accounts on the Google Play Store and identified a Russian freelance developer hiding behind a network of fake company websites, stolen IDs and email addresses, and fake North America job advertisements.
Thank. An extremely interesting article.
 
Original message
Эксперты проанализировали учетные записи разработчиков в Google Play Store, связанные с вредоносом, и выявили российского внештатного разработчика, скрывающегося за сетью поддельных web-сайтов компании, похищенных удостоверений личности и адресов электронной почты, а также поддельных объявлений о работе в Северной Америке.
Спасибо. Крайне интересная статья.

Марат (МОД)

Full members of NP "MOD"
Registrado
16 Abr 2020
Mensajes
117
Puntuación de reacción
81
Puntos
28
Ubicación
Санкт-Петербург
On Android platforms, in my opinion, for a long time it is not clear what is going on, besides Google (and, of course, immediately raised hype about this, as no one knew), a lot of third-party software transmitting this or that information is not clear where. A striking example is an application that allows you to find out how you are clogged up with friends on the phone, which ultimately merges an unreal amount of information
 
Original message
На Android платформах, по моему, уже давно не понятно что твориться, помимо гугла ( и естественно, сразу же поднятой шумихи по этому поводу- как так никто ж не знал) куча стороннего ПО передающего ту или иную информацию непонятно куда. Яркий пример- приложение позволяющее узнать как же ты забит в телефоне у друзей, в итоге сливающей нереальное количество информации

Детектив-Молдова

Вице-Президент IAPD
Nivel de acceso privado
Full members of NP "MOD"
Registrado
24 Nov 2010
Mensajes
2.002
Puntuación de reacción
491
Puntos
83
Edad
61
Ubicación
Молдова, Кишинев, тел.(Viber): +37369270011
Sitio web
adp-dia.com
In short, we pay money ourselves so that we are followed ... not good uncles))))
 
Original message
Короче, сами платим деньги, чтобы за нами следили... ни хорошие дядьки ))))

До нового года осталось