⚠️ نسخه جدیدی از نرم افزار #جاسوسی اندروید "Mandrake" در پنج اپلیکیشن موجود در #گوگل‌پلی یافت شده است که این اپلیکیشن‌ها ۳۲ هزار بار از گوگل‌پلی دانلود شده‌اند.

⚠️ بیت‌دیفندر اولین بار در سال ۲۰۲۰ این #جاسوس_افزار را شناسایی کرد و محققان قابلیت های جاسوسی پیچیده این #بدافزار را برجسته کردند.
کسپرسکی به تازگی گزارش داده که یک نوع جدید از Mandrake که دارای ابهام و قابلیت‌های فرار بهتر است از طریق پنج اپلیکیشن به فروشگاه گوگل‌پلی نفوذ کرد.

⚠️ این برنامه‌ها حداقل یک سال در دسترس بوده‌اند و آخرین آن یعنی AirFS، که از نظر آلودگی موفق‌ترین بود، در پایان مارس ۲۰۲۴ حذف شد.
اپ‌های AirFS، اپلیکیشن Astro Explorer، اپلیکیشن Amber، اپلیکیشن CryptoPulsing و Brain Matrix جاسوس افزارهای حذف شده هستند.

⚠️ نرم‌افزار Mandrake با اکثر بدافزارهای اندرویدی که معمولا در فایل DEX (فرمت DEX فرمت فایلی است که توسط #اندروید برای اجرای برنامه ها استفاده می شود) برنامه پنهان می شوند، متفاوت است.
در عوض این جاسوس‌افزار اولین مرحله خود را در یک کتابخانه بومی پنهان می‌کند.
هنگامی که برنامه مخرب نصب می‌شود، این کتابخانه دارای عملکردهایی برای رمزگشایی و بارگذاری فایل مرحله دوم DEX از پوشه دارایی‌های برنامه در حافظه است.
مرحله دوم مجوزهایی برای ترسیم همپوشانی‌ها می‌خواهد و یک کتابخانه بومی دیگر بارگیری می‌کند که گواهی را برای ارتباط ایمن با سرور فرمان و کنترل رمزگشایی می‌کند.

⚠️ پس از برقراری ارتباط با سرور، برنامه پروفایلی از دستگاه را ارسال می‌کند.
اگر دستگاه مناسب باشد، سرور جزء اصلی Mandrake (مرحله سوم) را ارسال می‌کند.

⚠️ پس از فعال‌سازی، جاسوس‌افزار Mandrake می‌تواند فعالیت‌های مخرب مختلفی مانند جمع‌آوری داده‌ها، ضبط و نظارت بر صفحه، اجرای دستورات، شبیه‌سازی ضربه‌های کاربر، مدیریت فایل‌ها و نصب برنامه‌ها را انجام دهد.

⚠️ مهاجمان همچنین می‌توانند با نشان دادن اعلان‌های جعلی که به نظر می‌رسد از گوگل‌پلی هستند، کاربران را فریب دهند تا فایل‌های مخرب بیشتری را نصب کنند و این روند را قابل اعتماد نشان دهند.

📡 https://t.me/IranAzadie