Duh, there's been dangerous malware hiding on Google Play for years
August 03, 2024
Duh, there's been dangerous malware hiding on Google Play for years
Photo: Doc. Kaspersky
HOLIDAY NEWS - Security researchers at Kaspersky discovered malware, or rather spyware, called Mandrake hiding inside an application on Google Play. This spyware was found in crypto asset, astronomy and utility tools applications, which are available officially within Google Play. What's worse, Mandrake has been available for two years and has been downloaded 32 thousand times.
The sample studied by Kaspersky featured advanced obfuscation and evasion techniques, allowing it to remain undetected by security vendors.
SCROLL TO CONTINUE WITH CONTENT
Interestingly, Mandrake is not new spyware at all. Its action was first discovered in 2020 by BitDefender, which at that time discovered that this spyware infected in two large waves.
Applications compromised by Mandrake were first available on Google Play between 2016-2017, and then appeared again between 2018-2020. And, the ultimate ability of this spyware is that it can operate without being detected by Google, which can then infect large numbers of users, reaching hundreds of thousands of victims over four years.
This espionage malware was then discovered again by Kaspersky researchers in April 2024 with more sophisticated capabilities.
"This new sample features advanced obfuscation and evasion techniques, including redirecting malicious functions to native obfuscated libraries using OLLVM, implementing certificate pinning for secure communication with command and control (C2) servers, and performing checks"extensive to detect whether Mandrake is operating on a rooted device or in an emulated environment," wrote Kaspersky in a statement received by detikINET.
The applications infiltrated by Mandrake this time were all published on Google Play in 2022. These applications are presented as file sharing applications via Wi-Fi, astronomy service applications, Amber for Genshin games, crypto asset applications, and applications with logic puzzles . As of July 2024, none of these apps had been detected as malware by any vendor, according to VirusTotal.
Although it is no longer on Google Play, the app has been available for a long time, and was most downloaded in Canada, Germany, Italy, Mexico, Spain, Peru and the UK. "After evading detection for four years in its initial version, the latest Mandrake campaign remained undetected on Google Play for another two years, demonstrating the advanced skills of the threat actors involved. "This also highlights a troubling trend: as restrictions tighten and security checks become more stringent, the sophistication of threats that slip through official app stores increases, making them increasingly difficult to detect," said Tatyana Shishkova, principal security researcher at GReaT (research team andglobal analysis) Kaspersky.
Duh, Ada Malware Berbahaya Ngumpet Bertahun-tahun di Google Play
HOLIDAY NEWS - Peneliti keamanan di Kaspersky menemukan malware, atau tepatnya spyware, bernama Mandrake bersembunyi di dalam aplikasi yang ada di Google Play.
Spyware ini ditemukan di aplikasi aset kripto, astronomi, dan alat utilitas, yang tersedia resmi di dalam Google Play. Parahnya, Mandrake ini sudah tersedia selama dua tahun dan diunduh sebanyak 32 ribu kali.
Sampel yang diteliti oleh Kaspersky menampilkan teknik pengaburan dan penghindaran tingkat lanjut, yang memungkinkannya agar tetap tidak terdeteksi oleh vendor keamanan.
SCROLL TO CONTINUE WITH CONTENT
Menariknya, Mandrake ini sama sekali bukan spyware baru. Aksinya pertama diketahui pada tahun 2020 oleh BitDefender, yang saat itu menemukan kalau spyware ini menginfeksi dalam dua gelombang besar.
Aplikasi yang disusupi Mandrake pertama tersedia di Google Play antara tahun 2016-2017, dan kemudian muncul lagi antara tahun 2018-2020. Dan, kemampuan pamungkas spyware ini adalah bisa beroperasi tanpa terdeteksi oleh Google, yang kemudian bisa menginfeksi pengguna dalam jumlah besar mencapai ratusan ribu korban selama empat tahun.
Malware spionase ini kemudian ditemukan lagi oleh peneliti Kaspersky pada April 2024 dengan kemampuan yang lebih canggih.
"Sampel baru ini menampilkan teknik pengaburan dan penghindaran tingkat lanjut, termasuk mengalihkan fungsi berbahaya ke pustaka asli yang dikaburkan menggunakan OLLVM, menerapkan penyematan sertifikat untuk komunikasi yang aman dengan server perintah dan kontrol (C2), dan melakukan pemeriksaan ekstensif untuk mendeteksi apakah Mandrake beroperasi pada perangkat yang di-rooting atau dalam lingkungan yang diemulasi," tulis Kaspersky dalam keterangan yang diterima detikINET.
Aplikasi yang disusupi oleh Mandrake kali ini semuanya dipublikasikan di Google Play pada tahun 2022. Aplikasi-aplikasi tersebut disajikan sebagai aplikasi berbagi file melalui Wi-Fi, aplikasi layanan astronomi, game Amber for Genshin, aplikasi aset kripto, dan aplikasi dengan teka-teki logika. Hingga Juli 2024, tidak ada satu pun aplikasi ini yang terdeteksi sebagai malware oleh vendor mana pun, menurut VirusTotal.
Meski kini sudah tak lagi ada di Google Play, aplikasi tersebut sudah tersedia dalam waktu yang lama, dan paling banyak diunduh di Kanada, Jerman, Italia, Meksiko, Spanyol, Peru, dan Inggris.
"Setelah menghindari deteksi selama empat tahun dalam versi awalnya, kampanye Mandrake terbaru tetap tidak terdeteksi di Google Play selama dua tahun berikutnya. Hal ini menunjukkan keterampilan canggih dari pelaku ancaman yang terlibat. Hal ini juga menyoroti tren yang meresahkan: seiring pengetatan pembatasan dan pemeriksaan keamanan yang semakin ketat, kecanggihan ancaman yang lolos menembus toko aplikasi resmi meningkat, sehingga semakin sulit dideteksi," kata Tatyana Shishkova, peneliti keamanan utama di GReaT (tim riset dan analisis global) Kaspersky.
0 Comments