Mandrake间谍软件再次潜入Google Play长达两年之久

文章预览

介绍 2020年5月，Bitdefender发布了一份白皮书，其中详细分析了一种复杂的安卓网络间谍软件Mandrake。2024年4月，卡巴斯基的研究人员发现了一个可疑样本，似乎是Mandrake的新版本。 随后的分析显示，从2022年到2024年，多达5个携带Mandrake间谍软件的应用程序在Google Play上可用，总安装量已超3.2万次，却未被任何其他供应商发现。这些新样本采用了高级混淆与规避技术，包括将恶意功能转移到使用OLLVM混淆的本地库中，实施证书绑定以确保与命令与控制（C2）服务器的安全通信，以及进行广泛检查以判断Mandrake是否在已获取root权限的设备或模拟环境中运行。 概括来说，卡巴斯基分析结果重点体现为如下几点： 在中断了两年之后，Mandrake 安卓间谍软件又回到了Google Play，并低调潜伏了两年； 威胁参与者已经将核心恶意功能转移到与OLLVM混淆的本机库中； 与命 ………………………………