Forscher von Kaspersky haben eine hochentwickelte Spionage-Kampagne aufgedeckt, bei der die Mandrake-Malware zum Einsatz kommt. Diese wurde über scheinbar legitime Apps im Google Play Store verbreitet.
32.000 Geräte infiziert
Laut Angaben von Ziare wurden über 32.000 Geräte von Mandrake infiziert. Die Malware blieb aufgrund fortschrittlicher Tarntechniken der Hacker zwei Jahre lang unentdeckt.
Mandrake wurde erstmals 2020 von Bitdefender identifiziert und als ausgeklügelte Android-Spionagesoftware beschrieben, die seit 2016 aktiv ist. Die neuesten Erkenntnisse von Kaspersky, die im April 2024 veröffentlicht wurden, weisen auf eine aktualisierte Version von Mandrake hin, die mit verbesserten Funktionen ausgestattet ist, um Erkennung und Analyse zu entgehen.
Lesen Sie auch
Diese Apps sind infiziert
Ein Schlüsselmerkmal der neuen Mandrake-Variante sind ihre fortschrittlichen Tarnstrategien. Dazu gehören:
Integration in native Bibliotheken: Die Malware verlagert ihre bösartigen Funktionen in native Bibliotheken, was die Erkennung durch Sicherheitssysteme erschwert.
Zertifikatspinning: Diese Technik sichert die Kommunikation mit den Command-and-Control (C2)-Servern und verhindert so die Datenabfangung.
Fortgeschrittene Tests: Die Malware führt verschiedene Tests durch, um festzustellen, ob sie auf einem echten Gerät oder in einer virtualisierten Umgebung läuft, was die Analyse erschwert.
Kaspersky identifizierte fünf infizierte Anwendungen auf Google Play, die Mandrake-Spyware enthielten. Diese Apps waren über ein Jahr lang zum Download verfügbar:
AirFS (com.airft.ftrnsfr)
Amber (com.shrp.sght)
Astro Explorer (com.astro.dscvr)
Brain Matrix (com.brnmth.mtrx)
CryptoPulsing (com.cryptopulsing.browser)
