7月29日，卡巴斯基新发布了一份关于间谍软件Mandrake的研究报告，称Mandrake改进了多种沙盒规避及反分析技术，并藏身于五款恶意应用之中在Google Play上潜伏了两年，目前已经感染了约32000台设备。

据了解，Mandrake是一种复杂的Android间谍软件，最先由Bitdefender在2020年发现并进行详细分析。它的设计目的是通过伪装成合法应用程序来感染用户设备，并进行数据窃取。2024年4月，卡巴斯基发现了一个可疑样本，并认为其是Mandrake的最新版本。这个新样本拥有新的混淆和规避技术，例如将恶意功能移动到混淆的本机库中，使用证书固定进行 C2 通信，并执行一系列测试来检查 Mandrake 是在 root 设备上运行还是在模拟环境中运行。

Mandrake的工作机制分为如下几个阶段：

1. 初始感染：恶意代码隐藏在本地库中，使用混淆技术来避免检测。

2. 数据收集：一旦感染，Mandrake能够收集设备信息、记录屏幕、模拟用户操作等。

3. 命令与控制：通过与C2服务器的通信，Mandrake可以接收进一步的恶意指令。

根据Kaspersky的报告，包含Mandrake的应用程序有AirFS（一款文件共享应用）、Amber、Astro Explorer、Brain Matrix、CryptoPulsing。

VirusTotal的数据显示，截至 2024 年 7 月，没有任何供应商将这些应用程序检测为恶意软件。这些应用在Google Play上潜伏了两年，目前已被删除。其中大多数下载来自加拿大、德国、意大利等国家。

Google表示，他们在不断增强Google Play Protect的功能，以应对新出现的恶意软件。用户可以通过此工具获得实时的威胁检测和警告。为了保护自己，建议用户最好采取以下措施：

① 只从可信来源下载应用：确保应用程序来自知名开发者。

② 定期检查应用权限：避免授予与应用功能无关的权限。

③ 启用Google Play Protect：确保此功能处于启用状态，以便自动检测并阻止已知的恶意软件。

报告原文：https://securelist.com/mandrake-apps-return-to-google-play/113147/

资讯来源：securelist

转载请注明出处和本文链接

球分享

球点赞

球在看

戳“阅读原文”一起来充电吧！