Firma badawcza Bitdefenter Labs, zajmująca się badaniem bezpieczeństwa oprogramowania, ujawniła szczegóły dotyczące nowego złośliwego oprogramowania atakującego urządzenia z systemem Android. Według ekspertów zachowuje się nieco inaczej niż większość powszechnych zagrożeń, ponieważ nie atakuje wszystkich urządzeń. Zamiast tego wirus wybiera użytkowników, od których może uzyskać najbardziej przydatne dane.
Twórcy szkodliwego oprogramowania zakazali mu atakowania użytkowników w niektórych regionach, w tym w krajach, które wcześniej były częścią Związku Radzieckiego, w Afryce i na Bliskim Wschodzie. Według badań Australia jest głównym celem hakerów. Zainfekowanych zostało także wiele urządzeń w USA, Kanadzie i niektórych krajach Europy.
Szkodnik został po raz pierwszy odkryty przez specjalistów na początku tego roku, chociaż zaczął się rozprzestrzeniać w 2016 roku i szacuje się, że w tym okresie zainfekował urządzenia setek tysięcy użytkowników. Od początku tego roku oprogramowanie miało już wpływ na dziesiątki tysięcy urządzeń.
Powodem, dla którego wirus przez długi czas pozostawał niewykryty w Google Play, jest to, że złośliwy kod nie jest w rzeczywistości zawarty w samych aplikacjach, ale korzystają one z procesu, który uruchamia funkcje szpiegowskie tylko po otrzymaniu bezpośredniego polecenia, a stojący za tym hakerzy nie uwzględniają tych funkcje po przetestowaniu przez Google. Jednak po uruchomieniu złośliwego kodu aplikacja może uzyskać z urządzenia praktycznie dowolne dane, w tym informacje potrzebne do logowania się do stron internetowych i aplikacji.
Bogdan Botezatu, dyrektor ds. badań zagrożeń i raportowania w Bitdefender, nazwał Mandrake jednym z najpotężniejszych złośliwych programów dla Androida. Jego ostatecznym celem jest przejęcie pełnej kontroli nad urządzeniem i złamanie kont użytkowników.
Aby przez lata pozostać niewykrytym, Mandrake był dystrybuowany za pośrednictwem różnych aplikacji w Google Play i publikowanych pod różnymi nazwami programistów. Aplikacje wykorzystywane do dystrybucji złośliwego oprogramowania są również stosunkowo dobrze obsługiwane, co pozwala zachować złudzenie, że można tym programom ufać. Programiści często odpowiadają na recenzje, a wiele aplikacji ma strony pomocy w mediach społecznościowych. Najciekawsze jest to, że aplikacje całkowicie usuwają się z urządzenia, gdy tylko otrzymają wszystkie niezbędne dane.
Google nie komentuje obecnej sytuacji i prawdopodobnie zagrożenie jest nadal aktywne. Najlepszym sposobem na uniknięcie infekcji Mandrake jest instalacja sprawdzonych aplikacji od renomowanych programistów.
Źródło: 3dnews.ru