Jakarta, ditphat.net – Peneliti Kaspersky telah mengidentifikasi program spyware baru yang mendistribusikan malware Mandrake melalui Google Play dengan kedok aplikasi sah terkait dengan aset kripto, astronomi, dan utilitas.
Mereka menemukan lima aplikasi Mandrake yang telah tersedia di Google Play selama dua tahun, dengan lebih dari 32.000 unduhan.
Model terbaru memiliki teknik penghindaran dan penghindaran canggih yang memungkinkan mereka tetap tidak terdeteksi oleh vendor keamanan.
Pertama kali terdeteksi pada tahun 2020, Spyware Mandrake adalah platform spyware Android canggih yang telah aktif setidaknya sejak tahun 2016.
Pada bulan April 2024, peneliti Kaspersky menemukan sampel mencurigakan yang menunjukkan Mandrake versi baru dengan fungsionalitas yang ditingkatkan.
Sampel baru ini menampilkan teknik penghindaran dan penghindaran tingkat lanjut, termasuk penggunaan OLLVM untuk mengalihkan fungsi berbahaya ke perpustakaan lokal yang dikaburkan, melakukan penyematan sertifikat untuk komunikasi aman dengan server perintah dan kontrol (C2) dan melakukan pemeriksaan menyeluruh untuk menentukan apakah Mandrake berjalan di perangkat dalam lingkungan yang di-rooting atau disimulasikan.
Fitur pembeda utama dari varian Mandrake baru adalah penambahan teknik kebingungan canggih yang dirancang untuk melewati pemeriksaan keamanan Google Play dan mencegah analisis.
Pada tahun 2022, aplikasi yang dipublikasikan di Google Play ini akan tersedia untuk diunduh setidaknya selama satu tahun.
Aplikasi ini disajikan sebagai aplikasi berbagi file Wi-Fi, aplikasi layanan astronomi, game Amber untuk Genshin, aplikasi aset kripto, dan aplikasi dengan teka-teki logika.
Menurut VirusTotal, pada Juli 2024, tidak satu pun dari aplikasi ini yang diidentifikasi sebagai malware oleh vendornya.
Meskipun aplikasi berbahaya ini tidak lagi tersedia di Google Play, aplikasi ini tersedia di berbagai negara, dengan unduhan terbanyak di Kanada, Jerman, Italia, Meksiko, Spanyol, Peru, dan Inggris.
“Mengingat kesamaan antara kampanye saat ini dan sebelumnya dengan domain C2 yang terdaftar di Rusia, kami berasumsi dengan keyakinan penuh bahwa pelaku ancaman sama dengan yang diidentifikasi dalam laporan deteksi pertama Bitdefender,” kata Tatyana Shishkova, kepala penelitian keamanan di Kaspersky .
Dia mengatakan spyware Mandrake terbaru, yang lolos dari deteksi selama empat tahun pada versi awalnya, tetap tidak terdeteksi di Google Play selama dua tahun berikutnya. Hal ini menunjukkan keterampilan tingkat lanjut yang dimiliki para pelaku ancaman siber.
“Ini memang tren yang mengkhawatirkan seiring dengan semakin ketatnya pembatasan dan pemeriksaan keamanan, ancaman siber yang lolos melalui toko aplikasi resmi (seperti Google Play) menjadi semakin canggih dan sulit dideteksi,” ujarnya.