قالت كاسبرسكي أمس الثلاثاء، إنها اكتشفت في أبريل 2024، عينة مشبوهة بدت وكأنها إصدار جديد من Mandrake، وهي منصة تجسس سيبرانية متطورة تعمل بنظام أندرويد، والتي كانت نشطة في البرية لمدة أربع سنوات على الأقل. وكشف التحليل اللاحق عن ما يصل إلى خمسة تطبيقات Mandrake، والتي كانت متاحة على متحر جوجل بلاي من عام 2022 إلى عام 2024 بأكثر من 32000 عملية تثبيت إجمالاً، بينما ظلت غير مكتشفة من قبل أي بائع آخر.
تضمنت العينات الجديدة طبقات جديدة من تقنيات التعتيم والتهرب، مثل نقل الوظائف الضارة إلى مكتبات أصلية معتمة، واستخدام تثبيت الشهادات لاتصالات C2، وإجراء مجموعة واسعة من الاختبارات للتحقق مما إذا كان Mandrake يعمل على جهاز متجذر أو في بيئة محاكاة.
وكانت نتائج ماسبرسكي، باختصار، على النحو التالي.
• بعد انقطاع دام عامين، عاد برنامج التجسس Mandrake أندرويد إلى جوجل بلاي واختفى لمدة عامين.
• نقل الجناة الوظائف الخبيثة الأساسية إلى مكتبات أصلية تم تشويشها باستخدام OLLVM .
• يستخدم الاتصال مع خوادم القيادة والتحكم (C2) تثبيت الشهادة لمنع التقاط حركة مرور SSL.
• تم تجهيز Mandrake بمجموعة متنوعة من تقنيات التهرب من صندوق الرمل ومكافحة التحليل.