Аналитики Kaspersky Lab обнаружили, что шпионская программа Mandrake для Android, ранее проанализированная Bitdefender в мае 2020 года, в апреле 2024 года вновь появилась в Google Play с новыми техниками уклонения и слоями обфускации.
Шпионское ПО распространялось через несколько приложений, собрав более 32 000 загрузок, и демонстрировало продвинутые методы обхода песочницы, антианализа и привязки сертификатов для C2-коммуникаций. Основной вредоносный функционал был скрыт в обфусцированных нативных библиотеках, а злоумышленники добавили обнаружение Frida для предотвращения анализа, проверку на наличие рутированных устройств и инструменты аналитики. C2-коммуникации поддерживались через нативную часть приложений, используя зашифрованные сертификаты, с доменами C2, зарегистрированными в России. Вредоносные приложения были доступны в разных странах, большинство загрузок приходилось на Германию, Италию, Испанию, Канаду, Мексику, Перу и Великобританию.
Indicators of Compromise
IPv4
- 45.142.122.12
Domains
- ricinus.ru
- ricinus.su
- ricinus-ca.ru
- ricinus-cb.ru
- ricinus-cc.ru
- toxicodendron.ru
MD5
- 141f09c5d8a7af85dde2b7bfe2c89477
- 1b579842077e0ec75346685ffd689d6e
- 202b5c0591e1ae09f9021e6aaf5e8a8b
- 31ae39a7abeea3901a681f847199ed88
- 33fdfbb1acdc226eb177eb42f3d22db4
- 3837a06039682ced414a9a7bec7de1ef
- 3c2c9c6ca906ea6c6d993efd0f2dc40e
- 494687795592106574edfcdcef27729e
- 5d77f2f59aade2d1656eb7506bd02cc9
- 79f8be1e5c050446927d4e4facff279c
- 7f1805ec0187ddb54a55eabe3e2396f5
- 8523262a411e4d8db2079ddac8424a98
- 8dcbed733f5abf9bc5a574de71a3ad53
- 95d3e26071506c6695a3760b97c91d75
- 984b336454282e7a0fb62d55edfb890a
- a18a0457d0d4833add2dc6eac1b0b323
- b4acfaeada60f41f6925628c824bb35e
- cb302167c8458e395337771c81d5be62
- da1108674eb3f77df2fee10d116cc685
- e165cda25ef49c02ed94ab524fafa938
- eb595fbcf24f94c329ac0e6ba63fe984
- f0ae0c43aca3a474098bd5ca403c3fca
