Малварь скрывался в Google Play 4 года

Шпионский Mandrake обнаружили эксперты Bitdefender который ускользал от внимания с 2016 года. Малварь устанавливал польный контроль на зараженным устройтвом, собирал учетные данные владельца гаджета, GPS, делал снимки экрана и т.д Интересно, что вредонос избегал заражений в странах СНГ (Украина, Беларусь, Кыргызстан и Узбекистан) Африке и на Ближнем Востоке.

Все начиналось с безобидного дроппера который маскировался под обыкновенный гороскоп или обменник криптовалюты, при установке приложения, дроппер загружал с удаленного сервера, загрузчик. При чем сам дроппер мог самостоятельно удаленно включать wife, скрывать свое присутствие от жертвы и автоматически устанавливать приложения.

Загрузчик в свою очередь отвечал за загрузку и установку самого Mandrake, после загрузки малварь повышал свои права до администратора через фейковый запрос к владельцу на принятие лицензионного соглашения устновленного приложения, после чего получал большой спектор возможностей. Пересылка всех входящих SMS на сервер оператора зловреда, отправка сообщений, совершение звонков, кража книги контактов, отслеживание жертвы по средствам активации GPS, похищение учетных данных Facebook и получения финансовых данных хронящихся на смартфоне.

Кроме того, малварь умел совершать фишинговые атаки на Amazon, Gmail, Google Chrome, приложения банков Австралии и Германии, сервисы конвертации валют XE и PayPal. Самое ужасное что Mandrake был способен произвести сброс к заводским настройкам, что стирало все пользовательские данные а так же все следы присутствия смого зловреда. После получения всей нужной информации с гаджета, Mandrake стирал себя с устройства.

Эксперты полагаю, что жертвами Mandrake стали десятки а то и сотни тысяч людей, но точного числа у них нет. Так же специалисты отмечают, что вредоносная программ не распространялась через спам, а это говорит о том что оператор зловреда, чательно отбирал своих жертв.

ИБ-специалисты смогли отследить учетную запись разработчика Mandrake в Google Play. Завялено что ниточка ведет к некому русскоязычному фрилансеру который скрывается за сетью сайтов фейковых компании, похищенных удостоверений личности и адресов электронной почты, а также поддельных объявлений о работе в Северной Америке.