Trong bài đăng trên blog tuần này, các nhà nghiên cứu của Kaspersky Lab vừa báo cáo rằng họ đã tìm thấy một mẫu đáng ngờ trong Google Play Store vào tháng 4 năm nay, có vẻ là phiên bản mới của Mandrake. Sau khi tìm hiểu sâu hơn, họ phát hiện ra 5 ứng dụng Android chứa phần mềm độc hại này. Đáng chú ý, các ứng dụng Android được phát hiện đã có mặt trên cửa hàng của Google trong 2 năm qua.
Ít nhất 5 ứng dụng Android chứa phần mềm độc hại Mandrake |
Các nhà nghiên cứu cho biết Mandrake mới đã được nâng cấp với nhiều lớp che phủ nhằm giúp nó vượt qua các kiểm tra của Google Play. Kết quả là các tác nhân đe dọa đã có thể lén đưa ít nhất 5 ứng dụng lên Google Play có chứa Mandrake vào năm 2022. Ngoại trừ ứng dụng chia sẻ tệp giả mạo AirFS có hơn 30.000 lượt cài đặt, hầu hết các ứng dụng bị nhiễm này có ít hơn 1.000 lượt cài đặt.
Báo cáo cho biết thêm, các ứng dụng nhiễm phần mềm độc hại vẫn có mặt trên Google Play cho đến tháng 3.2024 trước khi bị xóa. Danh sách các ứng dụng Android chứa Mandrake và số lượt đã cài đặt được Kaspersky ghi nhận bao gồm AirFS - File sharing via Wi-Fi của it9042 (30.305 lượt cài đặt); Astro Explorer của shevabad (718 lượt cài đặt); Amber của kodaslda (19 lượt cài đặt); CryptoPulsing của shevabad (790 lượt cài đặt) và Brain Matrix của kodaslda (259 lượt cài đặt).
Theo Kaspersky, các tác nhân đe dọa sử dụng Mandrake để đánh cắp thông tin đăng nhập của người dùng và tải xuống cũng như thực thi các ứng dụng độc hại ở giai đoạn tiếp theo. Việc phiên bản mới của Mandrake có khả năng che giấu ý định thực sự khỏi Google Play tốt hơn nên chúng có thể tồn tại trong một thời gian dài như vậy.
Google khuyến cáo người dùng Android nên bật Google Play Protect trên thiết bị của mình để bảo vệ khỏi các mối đe dọa tương tự.