Фахівці з компанії Bitdefender розповіли про шкідливі кампанії, в рамках якої шпигунське шкідливе ПО, яке отримало назву Mandrake, протягом чотирьох років приховувалося в магазині Google Play Store під виглядом кріптовалютного гаманця Coinbase, Gmail, браузера Google Chrome, сервісу конвертації валют XE, PayPal, а також додатків Amazon і різних банків Австралії та Німеччини.
Шкідливий має складну структуру, що дозволяє його операторам уникати виявлення за допомогою звичайного сканування. Замаскований під законне програмне забезпечення, Mandrake дозволяв своїм операторам стежити практично за всіма діями жертви на мобільному пристрої. Як тільки жертва встановлювала шкідливий додаток, компонент-завантажувач завантажував на пристрій шкідливий.
На відміну від звичайних загрузчиків, завантажувачі Mandrake здатні віддалено включати Wi-Fi, збирати інформацію про пристрій, приховувати свою присутність і повідомлення, а також автоматично встановлювати нові додатки. Компоненти одного з загрузчиків Mandrake, представлені користувачам під виглядом CAPTCHA, допомагали шкідливій програмі уникнути виявлення. Вони могли визначити, запускалася програма на віртуальній машині або емуляторі.
Встановлення зловмисного програмного забезпечення Mandrake дозволяло повністю скомпрометувати цільовий пристрій, надавши привілеї адміністратора для пересилання всіх вхідних SMS-повідомлень на сервер операторів шкідливий або на вказаний номер, відправки текстів, здійснення дзвінків, крадіжки інформації зі списку контактів, активації і записи GPS-координат, крадіжки облікових даних Facebook і фінансових додатків, запис екрану і ініціювання скидання до заводських налаштувань з метою стерти всі призначені для користувача дані і саму шкідливу програму в процесі.
За словами фахівців, число жертв може обчислюватися десятками тисяч, проте в кожному випадку атака була ініційована операторами, а не повністю автоматизована, як це роблять багато сімейства шкідливих програм.
Експерти проаналізували облікові записи розробників в Google Play Store, пов’язані з шкідливий, і виявили російського позаштатного розробника, який переховується за мережею підроблених web-сайтів компанії, викрадених посвідчень особи і адрес електронної пошти, а також підроблених оголошень про роботу в Північній Америці.
