Kaspersky araştırmacıları, Google Play üzerinden kripto para, astronomi ve yardımcı araçlarla ilgili yasal uygulamaların görüntüsü altında Mandrake kötü amaçlı yazılımını dağıtan yeni bir casus yazılım kampanyası keşfetti.
Kaspersky uzmanları, Google Play’de iki yıldır mevcut olan ve 32 binden fazla kez indirilen beş Mandrake uygulamasını tespit etti. Bu yeni yakalanan örnekler, güvenlik sistemleri tarafından tespit edilmemelerini sağlayan gelişmiş gizleme ve kaçınma tekniklerine sahip.
İlk olarak 2020’de tespit edilen Mandrake casus yazılımı, en az 2016’dan beri aktif olan gelişmiş bir Android casusluk platformu olarak ortalıkta dolaşıyor. Nisan 2024’te Kaspersky araştırmacıları, Mandrake’nin gelişmiş işlevselliğe sahip yeni bir sürümüne işaret eden şüpheli bir örneği ortaya çıkardı. Bu yeni örnekler, kötü amaçlı işlevlerini OLLVM kullanarak gizlenmiş yerel kitaplıklara yerleştirmek, komuta ve kontrol (C2) sunucularıyla güvenli iletişim için sertifika sabitlemesi yapmak ve Mandrake’nin köklü bir cihazda mı yoksa taklit bir ortamda mı çalıştığını tespit etmek için kapsamlı kontroller yapmak gibi gelişmiş gizlenme ve kaçınma tekniklerine sahip.
Yeni Mandrake varyantının en önemli ayırt edici özelliği, Google Play’in güvenlik kontrollerini atlatmak ve analizi engellemek için tasarlanmış gelişmiş gizleme tekniklerinin eklenmesi oldu. Şirketin uzmanları, Mandrake casus yazılımını içeren ve toplu olarak 32 bin kereden fazla kez indirilen beş uygulama tespit etti. Tamamı 2022 yılında Google Play’de yayınlanan bu uygulamalar en az bir yıl boyunca indirilebilir durumdaydı. Uygulamalar Wi-Fi üzerinden dosya paylaşım uygulaması, astronomi uygulaması, Amber for Genshin oyunu, kripto para uygulaması ve mantık bulmacaları uygulaması kılığında mağazaya sunuldular. VirusTotal’a göre Temmuz 2024 itibariyle bu uygulamaların hiçbiri herhangi bir satıcı tarafından kötü amaçlı yazılım olarak algılanmadı.
Bu kötü niyetli uygulamalar artık Google Play’de mevcut olmasa da, indirmelerin çoğunluğu Kanada, Almanya, İtalya, Meksika, İspanya, Peru ve Birleşik Krallık’ta olmak üzere çok çeşitli ülkelerde mevcuttu.
Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) Baş Güvenlik Araştırmacısı Tatyana Shishkova, şunları söyledi: “İlk sürümlerinde dört yıl boyunca tespitten kaçınan Mandrake kampanyası, Google Play’de iki yıl daha tespit edilmeden kalmayı başardı. Bu durum, söz konusu tehdit aktörlerinin gelişmiş becerilerini ortaya koyuyor. Bu durum aynı zamanda rahatsız edici bir eğilimin de altını çiziyor: Kısıtlamalar sıkılaştıkça ve güvenlik kontrolleri daha titiz hale geldikçe, resmi uygulama mağazalarına sızan tehditlerin karmaşıklığı artıyor ve tespit edilmeleri daha zor hale geliyor.”
Yeni Mandrake casus yazılım kampanyası hakkında daha fazla bilgi edinmek için Securelist adresini ziyaret edebilirsiniz.
Kaspersky uzmanları, Mandrake casus yazılımı gibi tehditlere karşı güvende kalmak için aşağıdaki ipuçlarını dikkate almanızı öneriyor:
Kaynak: (BYZHA) Beyaz Haber Ajansı