הקאמבק של Mandrake: התגלתה אחרי שנתיים שפעלה מתחת לרדאר

משפחת הרושעות המכונה Mandrake (ככל הנראה על שם הצמח דודא, או דודאים) התגלתה באחרונה שוב בחנות האפליקציות של גוגל, וכמו בעבר, היא פעלה מתחת לרדאר – במשך השנתיים האחרונות. אם בשני הגלגולים הקודמים של הרושעות הללו, כשהן פעלו בין 2016 ל-2017 ואז שוב בין 2018 ל-2020, מי שהצליחה לחשוף אותן הייתה חברת האבטחה ביטדיפנדר, הפעם הדיווח מגיע מצידה של קספרסקי.

מעבר לכך שההאקרים שעומדים מאחורי Mandrake הצליחו לפתח מערך חדש של אפליקציות שמשמשות להטעיה, הם גם תפעלו מערכי הסוואה חדשים, שהצליחו להסתיר את הפעילות שלה. זה כולל יכולת להתחמק ממה שמכונה ארגז חול (SandBox) – תהליכים שבהם משתמשים חוקרי אבטחה לעתים קרובות כדי לנסות לזהות פעילות מזיקה באפליקציות חשודות.

האפליקציות המתחזות עברו, בין השאר, עדכונים כדי להתחזות לאפליקציות רגילות, כשאחת מאלה שזוהו עודכנה במרץ האחרון. זו אחת מכמה שכבות שבהן Mandrake משתמשת כדי להטעות את הבדיקות של החוקרים ועל מנת לעבור את תהליכי הסינון של חנות האפליקציות של גוגל.

"תוכנת הריגול Mandrake מתפתחת באופן דינמי, משפרת את שיטות ההסתרה שלה, כולל התחמקות מארגזי חול ועקיפה של מערכי אבטחה אחרים. הקמפיין הנוכחי ארב בצל במשך שנתיים, בעודו זמין להורדה בחנות האפליקציות. זה מדגיש את הכישורים האדירים של שחקני האיום, וגם שבקרות מחמירות יותר מובילות לאיומים מתוחכמים יותר, קשים יותר לזיהוי, שמתגנבים אל שוק האפליקציות הרשמי", נמסר מקספרסקי.

בגל הנוכחי זוהו חמש אפליקציות שהכילו את Mandrake. כולן הוסרו אחרי שחלקן הורדו על ידי משתמשים רק כמה מאות פעמים, אבל לאחת מהן, AirFS, היו עשרות אלפי הורדות. נכון לחודש שעבר, כולן הצליחו להתחמק מהסריקה של גוגל.