Mandrake olarak bilinen gelişmiş bir Android casus yazılım kampanyası, Google Play Store’da yeniden ortaya çıktı ve 2022 ile 2024 yılları arasında 32.000’den fazla cihazı etkiledi.
Mandrake, son kampanyasıyla iki yıllık bir aradan sonra geri döndü. Kötü amaçlı yazılım, tespit edilmekten kaçınmak için kurbanların telefonlarında uzun süreler boyunca etkinsiz kalıyor.
AirFS adlı uygulama 30.000’den fazla yükleme elde etti. Ancak Mart 2024’te mağazadan kaldırıldı.
Meşru yazılım gibi görünen bulaşmış uygulamalar arasında şunlar yer alıyor:
- AirFS (30.305 indirme)
- Astro Explorer (718 indirme)
- Amber (19 indirme)
- CryptoPulsing (790 indirme)
- Beyin Matrisi (259 indirme)
Mandrake, en az 2016’dan beri aktif olan gelişmiş bir siber casusluk platformudur. Bu son sürüm, kötü amaçlı kodu gizlenmiş yerel kütüphanelere taşıma ve komut ve kontrol iletişimleri için sertifika sabitleme kullanma gibi karmaşık kaçınma teknikleri kullanır. Bu yöntemler, hassas kullanıcı verilerini çalarken kötü amaçlı yazılımın güvenlik satıcıları tarafından yıllarca tespit edilememesine olanak sağladı.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Mandrake, Android cihazları tehlikeye atmak için güçlü yeteneklere sahip gelişmiş bir siber casusluk platformudur. Kurulduktan sonra şunları yapabilir:
- Hesap kimlik bilgilerinizi ve hassas verilerinizi çalın
- Cihaz ekranını kaydedin
- GPS konumunu takip et
- SMS mesajlarına ve kişi listelerine erişim
- Diğer uygulamaları yükleyin veya kaldırın
- Telefon görüşmeleri başlatın
- Uzaktan erişimle ekran paylaşımı gerçekleştirin
Mandrake’i özellikle sinsi yapan şey seçici hedeflemesidir. Kötü amaçlı yazılım, yüklenen her cihazı ayrım gözetmeksizin enfekte etmez; bunun yerine, kurbanlarını coğrafi konum ve cihaz özellikleri gibi faktörlere göre seçer. Bu yaklaşım, uzun süre radar altında kalmasına yardımcı oldu.
Dosyalar Virustotal’daki hiçbir antivirüs yazılımı tarafından tespit edilemedi.
Araştırmacılar, “Mandrake casus yazılımının dinamik olarak geliştiğini, gizlenme, sanal alandan kaçınma ve yeni savunma mekanizmalarını aşma yöntemlerini geliştirdiğini” belirtti.
Enfeksiyon süreci aşamalar halinde gerçekleşir. İlk başta, “dropper” uygulaması zararsız görünür. Daha sonra, tüm tehlikeli yükü içeren daha fazla parça indirir. Bu çok aşamalı yaklaşım, enfeksiyonu tespit etmeyi daha da zorlaştırır.
Çoğu enfeksiyon Kanada, Almanya ve diğer Avrupa ülkelerinde bulunmuş olsa da tehdit küreseldir. Dünya çapındaki kullanıcılar, Google Play gibi resmi kaynaklardan bile olsa yeni veya tanıdık olmayan uygulamaları indirirken dikkatli olmalıdır.
Kullanıcılara, özellikle bilinmeyen geliştiricilerden yeni uygulamalar indirirken dikkatli olmaları tavsiye edilir. Uygulama izinlerini her zaman dikkatlice kontrol edin ve cihaz işlevlerine aşırı erişim talep eden uygulamalara karşı dikkatli olun.
Google o zamandan beri kötü amaçlı uygulamaları Play Store’dan kaldırdı. Ancak, bu uygulamaları yüklemiş olabilecek kullanıcılar bunları hemen silmeli ve cihazlarında bir güvenlik taraması çalıştırmalıdır.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo