Miként reagálnánk, ha kiderülne, hogy éveken át egy kémprogram ólálkodott kedvenc, a Google Play áruházból jóhiszeműen letöltött alkalmazásainkban? Sajnos a felvetés igenis valós, hiszen nemrégiben lehullott a lepel egy meglehetősen botrányos incidensről.
A Mandrake névre keresztelt Androidos kémprogram új verzióját öt olyan alkalmazásban fedezték fel, amelyet 32 000 alkalommal töltöttek le a Google Play-ről, a platform hivatalos tartalomszolgáltatásából.
A Bitdefender kiberbiztonsággal foglalkozó vállalat először 2020-ban észlelte a Mandrake jelenlétét több alkalmazásban. A kártékony tevékenységet vizsgáló kutatók kiemelték a rosszindulatú szoftver kifinomult kémkedési képességeit és megjegyezték, hogy legalább 2016 óta funkcionál.
Egy kémprogram túljárt a Google eszén?
A Kaspersky biztonsági megoldásokat kínáló cég most arról számolt be, hogy a kémprogram egy új változata, amely még ügyesebben rejtőzködik, 2022-ben öt alkalmazáson keresztül lopakodott be a Google Play-be.
A szóban forgó alkalmazások legalább egy évig elérhetőek voltak, míg az utolsó, a népszerűség és a károkozás szempontjából legsikeresebb AirFS-t 2024. március végén távolították el a kínálatból.
A Kaspersky által beazonosított, Mandrake-t hordozó alkalmazások a következők:
- AirFS – 30,305 letöltés 2022. április 28. és 2024. március 15. között
- Astro Explorer – 718 letöltés 2022. május 30. és 2023. június 6. között
- Amber – 19 letöltés 2022. február 27. és 2023. augusztus 19. között
- CryptoPulsing – 790 letöltés 2022. november 2. és 2023. június 6. között
- Brain Matrix – 259 letöltés 2022. április 27. és 2023. június 6. között
A cég elmondása szerint a legtöbb letöltés Kanadából, Németországból, Olaszországból, Mexikóból, Spanyolországból, Peruból és az Egyesült Királyságból származik.
A hasonló Androidos kémprogramokkal ellentétben, melyek ténykedésüket az app DEX fájljában kezdik meg, a Mandrake kezdetben a libopencv_dnn.so nevezetű könyvtárban bújik meg.
Miután az alapkomponens aktiválódik, a Mandrake kémprogram a rosszindulatú tevékenységek széles körét képes elvégezni, beleértve az adatgyűjtést, a képernyő rögzítését és megfigyelését, különféle parancsok végrehajtását, a felhasználói aktivitás szimulációját, a fájlok kezelését és az alkalmazások telepítését is.
Egyéb appokhoz hasonlóan a Mandrake is engedélyt kérhet a felhasználótól arra, hogy a háttérben fusson és így elrejtse az alkalmazás ikonját az áldozat készülékén, ezzel biztosítva zökkenőmentes garázdálkodását.
Az Android felhasználóknak azt tanácsolják, hogy csak megbízható forrásból származó alkalmazásokat telepítsenek, előtte pedig ellenőrizzék a véleményeket, ne engedélyezzenek olyan kockázatos engedélykéréseket, amelyek látszólag nem kapcsolódnak az alkalmazás funkciójához és győződjenek meg arról, hogy a Play Protect mindig aktív.
A tavalyi év folyamán például egy olyan kémprogram ütötte fel a fejét, amely reklámokon keresztül támadta meg a gyanútlan felhasználókat. Éppen ezért oly fontos, hogy az online térben is elővigyázatosak és óvatosak legyünk.
