พบสปายแวร์ ‘Mandrake’ เวอร์ชันใหม่บน Android ใน 5 แอปพลิเคชันที่ถูกดาวน์โหลดไปแล้วกว่า 32,000 ครั้งจาก Google Play ซึ่งเป็นแอปสโตร์อย่างเป็นทางการของแพลตฟอร์ม

 

Bitdefender ได้ทำการบันทึกข้อมูล Mandrake เป็นครั้งแรกในปี 2020 โดยนักวิจัยได้เน้นย้ำถึงความสามารถในการสอดส่องที่ซับซ้อนของมัลแวร์ตัวนี้ และสังเกตว่ามัลแวร์ตัวนี้ทำงานอย่างแพร่หลายตั้งแต่ปี 2016 เป็นอย่างน้อย ปัจจุบัน Kaspersky รายงานว่า Mandrake เวอร์ชันใหม่ที่มีคุณสมบัติการบดบังและหลบเลี่ยงที่ดีกว่าได้แอบเข้ามาใน Google Play ผ่าน 5 แอปพลิเคชันที่อยู่ในสโตร์ในปี 2022

 

แอปเหล่านี้ยังคงเปิดใช้งานได้นานอย่างน้อย 1 ปี ในขณะที่แอปสุดท้ายคือ AirFS ซึ่งประสบความสำเร็จสูงสุดในแง่ของความนิยมและทำให้ติดไวรัส ได้ถูกลบออกเมื่อปลายเดือนมีนาคม 2024

AirFS บน Google Play

Source: Kaspersky

Kaspersky ระบุแอปที่มีมัลแวร์ Mandrake แฝงตัวอยู่ไว้ 5 แอป ดังนี้:

 

• AirFS – แอปแชร์ไฟล์ผ่าน Wi-Fi โดย it9042 (ดาวน์โหลด 30,305 ครั้งระหว่างวันที่ 28 เมษายน 2022 ถึง 15 มีนาคม 2024)
• Astro Explorer โดย shevabad (ดาวน์โหลด 718 ครั้งระหว่างวันที่ 30 พฤษภาคม 2022 ถึง 6 มิถุนายน 2023)
• Amber โดย kodaslda (ดาวน์โหลด 19 ครั้งระหว่างวันที่ 27 กุมภาพันธ์ 2022 ถึง 19 สิงหาคม 2023)
• CryptoPulsing โดย shevabad (ดาวน์โหลด 790 ครั้งระหว่างวันที่ 2 พฤศจิกายน 2022 ถึง 6 มิถุนายน 2023)
• Brain Matrix โดย kodaslda (ดาวน์โหลด 259 ครั้งระหว่างวันที่ 27 เมษายน 2022 ถึง 6 มิถุนายน 2023)

 

บริษัทด้านความปลอดภัยทางไซเบอร์กล่าวว่าการดาวน์โหลดส่วนใหญ่มาจากแคนาดา เยอรมนี อิตาลี เม็กซิโก สเปน เปรูและสหราชอาณาจักร

แอป 4 ตัวที่ปล่อยมัลแวร์ Mandrake ลงในอุปกรณ์ของเหยื่อ

Source: Kaspersky

หลบเลี่ยงการตรวจจับ

ต่างจากมัลแวร์ Android ทั่วไปที่วางระบบที่เป็นอันตรายไว้ในไฟล์ DEX ของแอป Mandrake ซ่อนขั้นตอนเริ่มต้นไว้ในไลบรารีเนทีฟที่ชื่อว่า ‘libopencv_dnn.so’ ซึ่งใช้ OLLVM ในการปิดบังข้อมูลอย่างมากเมื่อติดตั้งแอปที่เป็นอันตรายแล้ว ไลบรารีจะส่งออกฟังก์ชันเพื่อถอดรหัสตัวโหลดขั้นที่สอง DEX จากโฟลเดอร์ทรัพยากรและโหลดลงในหน่วยความจำ

 

ขั้นที่สองขออนุญาตในการวาดโอเวอร์เลย์และโหลดไลบรารีเนทีฟที่สองที่ชื่อว่า ‘libopencv_java3.so’ ซึ่งจะถอดรหัสใบรับรองสำหรับการสื่อสารที่ปลอดภัยกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) เมื่อสร้างการสื่อสารกับ C2 แล้ว แอปจะส่งโปรไฟล์อุปกรณ์และรับส่วนประกอบหลักของ Mandrake (ขั้นที่สาม) 

 

เมื่อส่วนประกอบหลักถูกเปิดใช้งาน สปายแวร์ Mandrake สามารถดำเนินการที่เป็นอันตรายได้หลากหลายรูปแบบ รวมถึงการรวบรวมข้อมูล การบันทึกและติดตามหน้าจอ การดำเนินการคำสั่ง การจำลองการปัดและแตะของผู้ใช้ การจัดการไฟล์ และการติดตั้งแอป ที่น่าสังเกตคือ ผู้ก่อภัยคุกคามสามารถแจ้งให้ผู้ใช้ติดตั้ง APK ที่เป็นอันตรายเพิ่มเติมได้โดยแสดงการแจ้งเตือนที่เลียนแบบ Google Play โดยหวังจะหลอกล่อให้ผู้ใช้ติดตั้งไฟล์ที่ไม่ปลอดภัยผ่านกระบวนการที่ดูน่าเชื่อถือ

 

Kaspersky กล่าวว่ามัลแวร์ยังใช้การติดตั้งตามเซสชันเพื่อข้ามข้อจำกัดของ Android 13 (และรุ่นใหม่กว่า) ในการติดตั้ง APK จากแหล่งที่ไม่เป็นทางการ เช่นเดียวกับมัลแวร์ Android ตัวอื่นๆ Mandrake สามารถขอให้ผู้ใช้ให้สิทธิ์ในการทำงานเบื้องหลังและซ่อนไอคอนของแอปดรอปเปอร์บนอุปกรณ์ของเหยื่อ โดยทำงานอย่างแอบๆ เวอร์ชันล่าสุดของมัลแวร์ยังมีคุณสมบัติการหลบเลี่ยงการโจมตี โดยตอนนี้กำลังตรวจสอบการมีอยู่ของ Frida ซึ่งเป็นชุดเครื่องมือไดนามิกที่ได้รับความนิยมในหมู่นักวิเคราะห์ความปลอดภัยโดยเฉพาะ

 

นอกจากนี้ ยังตรวจสอบสถานะรูทของอุปกรณ์ ค้นหาไบนารีเฉพาะที่เชื่อมโยงกับอุปกรณ์ ตรวจสอบว่าพาร์ติชันระบบถูกเมาท์เป็นแบบอ่านอย่างเดียวหรือไม่ และตรวจสอบว่าการตั้งค่าการพัฒนาและ ADB เปิดใช้งานบนอุปกรณ์หรือไม่ ภัยคุกคาม Mandrake ยังคงมีอยู่ และแม้ว่าแอปทั้ง 5 ที่ Kaspersky ระบุว่าเป็นดรอปเปอร์จะไม่พร้อมใช้งานบน Google Play อีกต่อไปแล้ว แต่มัลแวร์อาจกลับมาอีกครั้งผ่านแอปใหม่ที่ตรวจจับได้ยากกว่า

 

ขอแนะนำให้ผู้ใช้ Android ติดตั้งแอปจากผู้จัดจำหน่ายที่มีชื่อเสียงเท่านั้น ตรวจสอบความคิดเห็นของผู้ใช้ก่อนติดตั้ง หลีกเลี่ยงการให้สิทธิ์ที่มีความเสี่ยงซึ่งดูเหมือนจะไม่เกี่ยวข้องกับฟังก์ชันของแอป และตรวจสอบให้แน่ใจว่า Play Protect ทำงานอยู่เสมอ

 

Google ได้แชร์คำชี้แจงต่อไปนี้เกี่ยวกับแอปที่เป็นอันตรายที่พบใน Google Play

“Google Play Protect ปรับปรุงอย่างต่อเนื่องกับแอปแต่ละตัวที่ระบุ เราปรับปรุงความสามารถของมันอยู่เสมอ รวมถึงการตรวจจับภัยคุกคามแบบเรียลไทม์ที่จะเกิดขึ้นเพื่อช่วยต่อสู้กับเทคนิคการปิดบังและป้องกันการหลีกเลี่ยงการตรวจจับ” Google บอกกับ BleepingComputer

 

“ผู้ใช้ Android จะได้รับการปกป้องโดยอัตโนมัติจาก Google Play Protect เวอร์ชันที่รู้จักมัลแวร์นี้โดย ซึ่งเปิดใช้งานตามค่าเริ่มต้นในอุปกรณ์ Android ที่มี Google Play Services โดย Google Play Protect สามารถแจ้งเตือนผู้ใช้หรือบล็อกแอปที่รู้ว่าแสดงพฤติกรรมอันตรายได้ แม้ว่าแอปเหล่านั้นจะมาจากแหล่งภายนอก Play store ก็ตาม”