Phát hiện một mềm gián điệp Android ẩn trong các ứng dụng trên Google Play từ năm 2022

Một phiên bản mới của phần mềm gián điệp Android 'Mandrake' đã được phát hiện thấy trong 5 ứng dụng với tổng công 32.000 lượt tải xuống từ Play Store, cửa hàng ứng dụng chính thức của các thiết bị chạy hệ điều hành di động Google.

Trước đó, các chuyên gia bảo mật tại Bitdefender đã lần đầu tiên phát hiện ra Mandrake vào năm 2020, và đặc biệt nêu bật khả năng do thám tinh vi của phần mềm độc hại này. Theo kết quả điều tra sơ bộ, đã Mandrake hoạt động trên internet kể từ ít nhất năm 2016, tuy không bùng phát thành “đại dịch” nhưng vẫn tồn tại dai dẳng cho đến ngày nay.

Kaspersky hiện báo cáo rằng một biến thể mới của Mandrake, sở hữu khả năng năng che giấu và né tránh tốt hơn, đã “lén lút” xâm nhập thành công vào hệ sinh thái rộng lớn và vốn được bảo vệ khá nghiêm ngặt của Google Play Store thông qua 5 ứng dụng đã xuất hiện trên cửa hàng từ năm 2022.

Phần lớn các ứng dụng trong danh sách này vẫn khả dụng trong ít nhất một năm. May thay, cái tên thành công nhất về mặt phổ biến và lây nhiễm mã độc là AirFS, đã bị xóa vào cuối tháng 3 năm 2024.

Danh sách cụ thể như sau:

• AirFS – Chia sẻ tệp qua Wi-Fi (30.305 lượt tải xuống từ ngày 28 tháng 4 năm 2022 đến ngày 15 tháng 3 năm 2024)
• Astro Explorer (718 lượt tải xuống từ ngày 30 tháng 5 năm 2022 đến ngày 6 tháng 6 năm 2023)
• Amber (19 lượt tải xuống từ ngày 27 tháng 2 năm 2022 đến ngày 19 tháng 8 năm 2023)
• CryptoPulsing (790 lượt tải xuống từ ngày 2 tháng 11 năm 2022 đến ngày 6 tháng 6 năm 2023)
• Brain Matrix (259 lượt tải xuống từ ngày 27 tháng 4 năm 2022 đến ngày 6 tháng 6 năm 2023)

Kaspersky cho biết hầu hết các lượt tải xuống đến từ Canada, Đức, Ý, Mexico, Tây Ban Nha, Peru và Vương quốc Anh.

“Nghệ thuật lần tránh”

Không giống như các mã độc Android thông thường, thường đặt logic độc hại vào tệp DEX của ứng dụng, Mandrake lại chọn cách ẩn giai đoạn đầu trong thư viện gốc, 'libopencv_dnn.so', được che giấu kỹ lưỡng bằng OLLVM.

Sau khi cài đặt ứng dụng độc hại, thư viện sẽ xuất các hàm để giải mã trình tải DEX giai đoạn thứ hai từ thư mục tài sản của nó và tải vào bộ nhớ.

Giai đoạn thứ hai yêu cầu quyền để thiết lập lớp phủ và tải thư viện gốc thứ hai, 'libopencv_java3.so', giải mã chứng chỉ để liên lạc an toàn với máy chủ lệnh và điều khiển (C2).

Sau khi thiết lập liên lạc với C2, ứng dụng sẽ gửi hồ sơ thiết bị và nhận thành phần Mandrake cốt lõi (giai đoạn thứ ba) nếu được coi là phù hợp.

Sau khi thành phần cốt lõi được kích hoạt, phần mềm gián điệp Mandrake có thể thực hiện nhiều hoạt động độc hại, bao gồm thu thập dữ liệu, ghi lại và giám sát màn hình, thực thi lệnh, mô phỏng thao tác vuốt và chạm của người dùng, quản lý tệp và cài đặt ứng dụng.

Đáng chú ý, các tác nhân đe dọa có thể nhắc nhở người dùng cài đặt thêm APK độc hại bằng cách hiển thị thông báo bắt chước Google Play, hy vọng lừa người dùng cài đặt các tệp không an toàn thông qua một quy trình có vẻ đáng tin cậy.

Kaspersky cho biết phần mềm độc hại này cũng sử dụng phương pháp cài đặt dựa trên phiên để bỏ qua các hạn chế của Android 13 (và các phiên bản sau) về việc cài đặt APK từ các nguồn không chính thức.

Giống như các phần mềm độc hại Android khác, Mandrake có thể yêu cầu người dùng cấp quyền chạy ở chế độ nền và ẩn biểu tượng ứng dụng dropper trên thiết bị của nạn nhân, hoạt động một cách lén lút.

Mối đe dọa Mandrake vẫn còn tồn tại và trong khi năm ứng dụng được Kaspersky xác định là dropper không còn khả dụng trên Google Play, phần mềm độc hại có thể quay trở lại thông qua các ứng dụng mới khó phát hiện hơn.

Người dùng Android chỉ nên cài đặt ứng dụng từ các nhà phát hành có uy tín, kiểm tra bình luận của người dùng trước khi cài đặt, tránh cấp các yêu cầu cấp quyền rủi ro có vẻ không liên quan đến chức năng của ứng dụng và đảm bảo rằng Play Protect luôn hoạt động.