В начале 2020 года в магазине Play Store была обнаружена шпионская платформа Android под названием Mandrake, которая действовала как минимум четыре года. Название Mandrake («Мандрагора») произошло от того, что злоумышленники дали своим продуктам названия ядовитых растений.
Тогда компании по кибербезопасности смогли удалить соответствующие приложения. Однако теперь в Google Play Store появилась новая версия Mandrake. Она была обнаружена в апреле 2024 года, но активна с 2022 года. В общей сложности к августу более 32 000 пользователей загрузили пять приложений новой версии Mandrake.
Если на смартфоне установлено одно из приложений Mandrake, следует удалить его как можно быстрее. Речь идет о следующих пяти опасных приложениях, как сообщает блог Securelist, публикующий отчеты «Лаборатории Касперского»:
- AirFS
- Astro Explorer
- Amber
- CryptoPulsing
- Brain Matrix
У приложения AirFS наибольшее количество загрузок: его скачали более 30 000 раз. Это приложение для обмена файлами, которое может установить шпионское ПО на смартфон.
«Основные цели Mandrake — украсть учетные данные пользователей, а также загрузить и запустить вредоносные приложения нового уровня», — говорится в отчете.
Хакеры использовали новые методы обфускации (запутывание кода), чтобы Google не распознавала приложения как вредоносные. Приложение AirFS выполняет в фоновом режиме целый ряд команд. Оно фотографирует и снимает видео экрана смартфона, например, чтобы узнать имена пользователей и пароли. Оно также отправляет информацию об устройстве на хакерский сервер. Сюда входит, среди прочего, данные о том, какие приложения установлены на смартфоне, IP-адрес и уникальный идентификатор устройства.
