Platform mata-mata Android Mandrake, yang memulai aktivitasnya pada tahun 2016 dan pertama kali ditemukan pada tahun 2020 oleh Bitdefender, kembali lagi. Platform ini telah berkembang menjadi versi yang lebih kuat yang dapat menghindari pemeriksaan Google Play, sehingga membuat deteksi menjadi lebih sulit. kaspersky menemukan lima aplikasi baru dengan spyware.
Menurut perusahaan keamanan siber tersebut, lima aplikasi yang tersedia di Google Play dari tahun 2022 hingga 2024 berisi Malware versi baru. Secara kolektif, aplikasi-aplikasi tersebut diunduh lebih dari 32.000 kali, terutama oleh pengguna di Kanada, Jerman, Italia, Meksiko, Spanyol, Peru, dan Inggris.
Berikut nama-nama aplikasi yang terinfeksi:
- AirFS – 30.305 instalasi
- Astro Explorer – 718 pemasangan
- Amber – 19 instalasi
- CryptoPulsing – 790 instalasi
- Brain Matrix – 259 pemasangan
Sebagian besar aplikasi ini tetap tersedia di Google Play setidaknya selama satu tahun sebelum dihapus, dengan satu aplikasi – AirFS – baru dihapus pada Maret 2024. Hingga saat ini, tidak ada satu pun aplikasi yang ditandai sebagai berbahaya oleh penyedia anti-virus mana pun.
Aplikasi Mandrake menggunakan lapisan baru teknik pengaburan agar tetap rendah, seperti melakukan aktivitas berbahaya dalam pustaka yang dikaburkan dan menggunakan penyematan sertifikat untuk mencegah penyadapan jaringan.
AirFS, yang diunduh paling banyak, menyamar sebagai aplikasi berbagi file, tetapi pengguna mengeluh aplikasi itu tidak berfungsi dan mencuri data mereka.
Bukan hanya itu saja yang dapat dilakukan oleh aplikasi-aplikasi ini. Laporan tersebut mencatat bahwa aplikasi-aplikasi tersebut dapat mengirim informasi perangkat dan daftar aplikasi yang terinstal ke induknya, menginstal lebih banyak aplikasi, mengubah ikon, dan meminta izin untuk berjalan di latar belakang.
Seperti versi sebelumnya, platform Mandrake baru bekerja dalam tiga tahap. Platform ini hanya mencoba menginfeksi korban saat target dianggap relevan. Hal ini ditentukan berdasarkan kekuatan data.
Setelah suatu perangkat ditetapkan sebagai target, malware tersebut merekam layar dan mengumpulkan cookie untuk mencuri kredensial serta “mengunduh dan menjalankan aplikasi berbahaya tahap berikutnya”, yang merupakan motif utama Mandrake.
Untuk membuat Anda memasang aplikasi baru, Mandrake mengirimkan pemberitahuan yang sepertinya berasal dari Google Play. Dengan Android 13fitur Pengaturan Terbatas diperkenalkan untuk mencegah aplikasi yang diunduh dari luar meminta izin berbahaya secara langsung, tetapi Mandrake mampu melewatinya.
Periksa ponsel Anda untuk aplikasi-aplikasi yang disebutkan di atas dan jika Anda kebetulan telah mengunduh salah satunya, segera hapus.
Google memberikan pernyataan berikut kepada Komputer Berbunyi tentang aplikasi:
Google Play Protect terus ditingkatkan dengan setiap aplikasi yang teridentifikasi. Kami selalu meningkatkan kemampuannya, termasuk deteksi ancaman langsung yang akan datang untuk membantu memerangi teknik pengaburan dan anti-penghindaran. Pengguna Android secara otomatis dilindungi terhadap versi malware yang diketahui ini oleh Google Play Protect, yang aktif secara default pada perangkat Android dengan Layanan Google Play. Google Play Protect dapat memperingatkan pengguna atau memblokir aplikasi yang diketahui menunjukkan perilaku berbahaya, bahkan ketika aplikasi tersebut berasal dari sumber di luar Play.
