Kampanye spyware Android Mandrake, yang pertama kali ditemukan pada tahun 2020, tampaknya kembali muncul. Dalam sebuah posting blog minggu ini, Peneliti Kaspersky melaporkan bahwa mereka menemukan sampel mencurigakan di toko Google Play pada bulan April ini yang tampaknya merupakan versi baru dari perangkat lunak berbahayaSetelah melakukan penyelidikan lebih lanjut, mereka menemukan lima aplikasi Android yang berisi malware Mandrake yang telah tersedia di toko tersebut selama dua tahun.
Para peneliti mengatakan bahwa Mandrake baru telah ditingkatkan dengan lapisan pengaburan yang memungkinkannya melewati pemeriksaan Google Play. Hasilnya, pelaku ancaman berhasil menyelinapkan sedikitnya lima aplikasi ke Google Play yang berisi malware pada tahun 2022.
Sebagian besar aplikasi yang terinfeksi ini diinstal kurang dari 1.000 kali, tetapi aplikasi berbagi file palsu AirFS diinstal lebih dari 30.000 kali. Yang lebih merepotkan, aplikasi ini tersedia di Google Play hingga Maret 2024, dan akhirnya dihapus. Berikut daftar lengkap aplikasi Mandrake yang menurut para peneliti telah ada di Google Play setidaknya selama satu tahun:
- AirFS – Berbagi file melalui Wi-Fi oleh it9042 (30.305 unduhan)
- Penjelajah Astro oleh shevabad (718 unduhan)
- Amber oleh kodaslda (19 unduhan)
- Pulsa Kripto oleh shevabad (790 unduhan)
- Matriks Otak oleh kodaslda (259 unduhan)
Menurut Kaspersky, pelaku ancaman menggunakan Mandrake untuk mencuri kredensial pengguna dan mengunduh serta menjalankan aplikasi berbahaya tahap berikutnya. Seperti disebutkan di atas, versi terbaru Mandrake lebih baik dalam menyembunyikan maksud sebenarnya dari Google Play, yang menjelaskan bagaimana aplikasi yang terinfeksi ini dapat tetap tidak terdeteksi di toko aplikasi Google begitu lama.
Dua peneliti Kaspersky menjelaskan: “Perangkat lunak mata-mata Mandrake berevolusi secara dinamis, meningkatkan metode penyembunyiannya, penghindaran sandbox, dan melewati mekanisme pertahanan baru. Setelah aplikasi dari kampanye pertama tidak terdeteksi selama empat tahun, kampanye saat ini mengintai dalam bayang-bayang selama dua tahun, sementara masih tersedia untuk diunduh di Google Play. Hal ini menyoroti keterampilan hebat para pelaku ancaman, dan juga bahwa kontrol yang lebih ketat untuk aplikasi sebelum dipublikasikan di pasar hanya menghasilkan ancaman yang lebih canggih dan lebih sulit dideteksi yang menyelinap ke pasar aplikasi resmi.”
Seperti yang telah disampaikan oleh juru bicara Google kepada kami sebelumnya, Anda terlindungi dari ancaman seperti ini selama Google Play Protect aktif di perangkat Anda. Lebih jauh lagi, kelima aplikasi Android ini tidak lagi tersedia di Google Play.
