Şirketten yapılan açıklamaya göre,ilk olarak 2020'de tespit edilen ve güvenlik sistemleri tarafından tespit edilmemeyi sağlayan gelişmiş gizleme ve kaçınma tekniklerine sahip Mandrake casus yazılımı, 2016'dan beri aktif gelişmiş Android casusluk platformu olarak biliniyor.
Kaspersky araştırmacıları, nisanda Mandrake'nin gelişmiş işlevselliğe sahip yeni bir sürümüne işaret eden şüpheli bir örneği ortaya çıkardı. Bu yeni örneklerin, kötü amaçlı işlevlerini OLLVM ile gizlenmiş yerel kitaplıklara yerleştirme, komuta ve kontrol sunucularıyla güvenli iletişim kurma ve Mandrake'nin gerçek bir cihazda mı yoksa sanal bir ortamda mı çalıştığını belirleme gibi ileri düzey tekniklere sahip olduğu belirlendi. Google Play'in güvenlik kontrollerini atlatmak ve analizi engellemek için tasarlanmış gelişmiş gizleme teknikleri ise yazılımın ayırt edici özelliği olarak biliniyor.
Mandrake casus yazılımını da içeren 5 uygulamanın toplam 32 binden fazla indirildiği tespit edildi. Uygulamalar 2022'de Google Play'de yayınlanmasının ardından bir yıl boyunca indirilebilir durumda kaldı. Kablosuz bağlantı üzerinden dosya paylaşım uygulaması, astronomi uygulaması, Amber for Genshin oyunu, kripto para uygulaması ve mantık bulmacaları görünümünde mağazaya sunuldu.
VirusTotal'a göre, temmuz itibariyle bu uygulamaların hiçbiri herhangi bir satıcı tarafından kötü amaçlı yazılım olarak algılanmadı.
Kötü niyetli uygulamalar artık Google Play'de mevcut olmasa da, indirilen uygulamalar Kanada, Almanya, İtalya, Meksika, İspanya, Peru ve İngiltere'de başta olmak üzere pek çok ülkede kullanıcılarda bulunuyor.
- "Güvenlik kontrolleri daha titiz hale geldikçe, mağazalara sızan tehditlerin karmaşıklığı artıyor"
Açıklamada görüşlerine yer verilen Kaspersky Global Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Tatyana Shishkova, Mandrake casus yazılımının ilk sürümlerinde 4 yıl boyunca tespitten kaçınabildiğini, Google Play'de ise 2 yıl daha tespit edilmeden kalmayı başardığını belirtti.
Shishkova, "Bu durum, söz konusu tehdit aktörlerinin gelişmiş becerilerini ortaya koyuyor. Bu durum aynı zamanda rahatsız edici bir eğilimin de altını çiziyor: Kısıtlamalar sıkılaştıkça ve güvenlik kontrolleri daha titiz hale geldikçe, resmi uygulama mağazalarına sızan tehditlerin karmaşıklığı artıyor ve tespit edilmeleri daha zor hale geliyor." açıklamasında bulundu.
Kaspersky uzmanları, Mandrake casus yazılımı gibi tehditlere karşı güvende kalmak için alınması gereken önlemleri paylaştı. Uygulamaların ve yazılımların saygın ve resmi kaynaklardan indirilmesini tavsiye eden uzmanlar, şu önerilerde bulundu:
"Kötü amaçlı veya güvenliği ihlal edilmiş uygulamaları barındırma riski daha yüksek olduğundan üçüncü taraf uygulama mağazalarından kaçının. Resmi platformların dahi kötü amaçlı uygulamalar barındırabileceğini unutmayın. İndirmeden önce her zaman yorumları ve derecelendirmeleri kontrol edin. Cihazlarınıza saygın antivirüs ve anti-malware yazılımları yükleyin ve bakımını yapın.
Cihazlarınızı potansiyel tehditlere karşı düzenli olarak tarayın ve güvenlik yazılımınızı güncel tutun. En son siber tehditler, teknikler ve taktikler hakkında bilgi sahibi olun. İstenmeyen taleplere, şüpheli tekliflere veya kişisel ya da finansal bilgiler için yönlendirilen acil taleplere daima şüpheyle yaklaşın. Popüler kaynaklardan alınan üçüncü taraf yazılımlar genellikle sıfır garanti ile gelir. Bu tür uygulamaların, örneğin tedarik zinciri saldırıları nedeniyle kötü amaçlı implantlar içerebileceğini unutmayın."