Mandrake isimli kötü amaçlı yazılım, Google Play’de yeniden ortaya çıktı. İlk olarak 2020’de Bitdefender tarafından tespit edilen bu zararlı yazılım, yıllar boyunca çeşitli uygulamalar aracılığıyla kullanıcıları gözetlemiş ve hassas bilgilerini çalmıştı.
Mandrake, Google Play‘de nasıl gizlendi?
Mandrake ilk olarak 2016-2017 ve 2018-2020 yılları arasında iki dalga halinde ortaya çıkan Mandrake, 90 ülkede aktif olmamak, hedeflenen kurbanlara özel yükler göndermek ve kendini tamamen silen bir “seppuku” anahtarı gibi yöntemlerle tespit edilmekten kaçındı. Ayrıca, tamamen işlevsel sahte uygulamalar ve hataları hızla düzelten bir sistemle kullanıcıları yanıltmayı başardı.
Kaspersky tarafından tespit edilip Google Play’den kaldırılan o uygulamalar:
| Paket adı | Uygulama adı | MD5 | Geliştirici | Yayın tarihi | Son güncellemesi | İndirme sayısı |
|---|---|---|---|---|---|---|
| com.airft.ftrnsfr | AirFS | 33fdfbb1acdc226eb177eb42f3d22db4 | it9042 | 28 Nisan 2022 | 15 Mart 2024 | 30.305 |
| com.astro.dscvr | Astro Explorer | 31ae39a7abeea3901a681f847199ed88 | shevabad | 30 Mayıs 2022 | 6 Haziran 2023 | 718 |
| com.shrp.sght | Amber | b4acfaeada60f41f6925628c824bb35e | kodaslda | 27 Şubat 2022 | 19 Ağustos 2023 | 19 |
| com.cryptopulsing.browser | CryptoPulsing | e165cda25ef49c02ed94ab524fafa938 | shevabad | 2 Kasım 2022 | 6 Haziran 2023 | 790 |
| com.brnmth.mtrx | Brain Matrix | – | kodaslda | 27 Nisan 2022 | 6 Haziran 2023 | 259 |
Bu zararlı yazılımın kurbanları on binlerce, hatta dört yıllık sürede yüz binlerce kişiyi buldu. 2022 yılında Kaspersky, Mandrake’in yeniden Google Play’de gizlendiğini ve daha da gelişmiş yöntemlerle kullanıcıları hedef aldığını rapor etti. Mandrake’in yeni nesli, kötü amaçlı davranışlarını gizlemek için bir dizi gelişmiş teknik kullanıyor.
Araştırmacıların kötü amaçlı yazılımı tespit etmesini zorlaştıran bu yöntemler arasında çok katmanlı obfuscation (karartma) ve yerel kütüphanelere taşınan zararlı fonksiyonlar yer alıyor. Mandrake, zararlı kodlarını native library (yerel kütüphane) olarak bilinen libopencv_dnn.so dosyasına taşıyarak, analiz edilmesini ve tespit edilmesini zorlaştırıyor. Yeni nesil Mandrake, kullanıcıların kimlik bilgilerini çalmak ve sonraki aşamalarda zararlı uygulamaları indirmek için ekran kaydı gibi yöntemler kullanıyor.
Ekran kayıtları, kontrol sunucusundan gelen komutlarla başlatılıyor ve kullanıcıların girilen bilgileri gizlice kaydediliyor.
Yesilrobot.com e-bültenine kaydolarak, her hafta 15 bine yakın Yeşil Robot okurunun yaptığı gibi, tüm güncellemeleri E-posta kutunuzdan takip edebilirsiniz. Abonelik için tıklayınız
