Nieuchwytny malware z Google Play zainfekował setki tysięcy smartfonów

Przeczytaj także: Malware coraz częściej udaje aplikacje na Androida. Na celowniku Netflix i Skype

Malware Mandrake został odkryty na początku bieżącego roku, ale początki jego niezauważonej zresztą działalności datują się na cztery lata wstecz. Ukrywające się w aplikacjach Google Play zagrożenie jest w stanie przejąć kontrolę nad urządzeniem, wykradać loginy i hasła, w tym również do kont bankowych, a także rejestrować obrazy pojawiające się na ekranie ofiary oraz pozyskiwać dane na temat jej lokalizacji.

Jak ostrzega Bitdefender, omawiany malware jest tym bardziej niebezpieczny, że związana z nim akcja hakerska jest sprawnie zarządzana i bardzo dobrze przygotowana. Przestępcy umiejętnie zacierają ślady swojej działalności oraz ograniczają zasięg działania. Mandrake unika krajów o niskich dochodach, stąd nie występuje m.in w Afryce i byłych republikach Związku Radzieckiego. Natomiast zaobserwowano go w Australii, Europie oraz obu Amerykach.

Bitdefender zauważa, iż cyberprzestępcy przeprowadzali akcje phishingowe wymierzone przeciwko użytkownikom aplikacji związanych z finansami i zakupami. To jeden ze sposobów, który miał zachęcać potencjalne ofiary do pobrania aplikacji. Na liście zaatakowanych instytucji znalazły się m.in mBank oraz Plus Bank.

Jak tłumaczy Bogdan Botezatu, dyrektor ds. badań i raportowania zagrożeń w Bitdefender, głównym celem przyświecającym przestępcom, którzy przygotowali ten malware, jest całkowite przejęcie kontroli nad smartfonem ofiary oraz jej tożsamością.

To jeden z najgroźniejszych wirusów atakujących urządzenia z Androidem z jakimi do tej pory mieliśmy do czynienia. Szacujemy, że w ostatnich kilku miesiącach mógł zainfekować dziesiątki tysięcy terminali, a w ciągu czterech lat jego ofiarą padły setki tysięcy użytkowników - tłumaczy Bogdan Botezatu, dyrektor ds. badań i raportowania zagrożeń w Bitdefender.

Hakerzy posługujący się tym złośliwym oprogramowaniem włożyli wiele wysiłku, aby pozostać w cieniu. Grupa przestępcza zamieszczała złośliwe aplikacje w Google Play. Bitdefender odnalazł siedem takich programów, które obejmowały różne kategorie: finanse, motoryzacja, odtwarzacze wideo czy edytory tekstu. W przeciwieństwie do innych złośliwych programów wykrywanych w sklepie Google Play, operatorzy Mandrake reagowali na negatywne recenzje i dostarczali poprawki rozwiązujące problemy zgłaszane przez użytkowników.

Co więcej, niektóre aplikacje miały swoje własne strony internetowe i konta w mediach społecznościowych. Cyberprzestępcy przyjęli też specjalną strategię, dzięki której malware nie jest wykrywany przez Google Play. Cały proces składa się z trzech etapów. W pierwszej fazie użytkownik urządzenia z Androidem ściąga z platformy poprawnie działającą aplikację. Następnie kontaktuje się ona z serwerem należącym do napastników i pobiera moduł ładujący złośliwy kod.

W trzeciej części hakerzy przystępują do szpiegowania urządzenia. Warto dodać, że kiedy napastnicy uzyskają potrzebne informacje, uruchamiają komendę „seppuku” zacierającą ślady po złośliwym oprogramowaniu. Mandrake wykorzystuje zaawansowane techniki manipulacji. Komunikat pojawiający się na ekranie smartfona bądź tabletu jest postrzegany przez użytkownika jako zwykły formularz do akceptacji umowy licencyjnej. W rzeczywistości zawiera całą serię żądań i uprawnień przyznawanych hakerowi.

Wprawdzie aplikacje Currency XE Converter, Office Scanner, Horoskope czy Car News zniknęły z platformy Google Play, ale badacze z Bitdefendera nie mają złudzeń, że kampania Mandrake może powrócić w każdej chwili. Osoby stojące za tymi atakami prawdopodobnie podejmą kolejną próbę dystrybucji nowych złośliwych programów.