研究人员刚刚曝光了一款名叫 Mandrake 的 Android 恶意软件。自 2016 年以来,它就一直在窃取用户的数据。其行为与大多数常见的威胁有所不同,Mandrake 并不致力于感染更多的设备,而是希望从用特定用户手上榨取更多的数据。从这一点来看,这款恶意软件在挑选受害者时,还算相当“挑剔”的。

android高危权限(自16年起MandrakeAndroid一直在窃取用户数据)(1)

与现实世界中的生物病毒一样,高传染性意味着更容易被发现。Mandrake 极力在隐藏自己,对特定受害设备的数据窃取利用到了极致。

实际上,根据研究人员的深入分析,可知这款恶意软件被明确指定不得攻击某些地区的用户,包括前苏联、非洲和中东。澳大利亚被高度针对,美国、加拿大和某些欧洲国家也出现了很多感染案例。

Mandrake 于今年早些时候被首次发现,但其历史可追溯到 2016 年。据估计,当时该病毒已感染成千上万的设备,但最近一轮又扩散到了数十万人。

之所以谷歌 Play 商店迟迟未能揪出这款恶意软件,是因为 Mandrake 并未直接将这部分内容包含在程序本体。只有在接到指示之后,才会开启加载恶意行为的过程。

如此一来,它便能够避免被谷歌在早期筛查中发现。一旦将有效负载置于设备上,恶意软件便可立即窃取任何想要的数据,包括网站和应用的登陆凭据。

android高危权限(自16年起MandrakeAndroid一直在窃取用户数据)(2)

Mandrake 甚至可以重绘屏幕上的内容,意味着即使受害者看到了“完全正常”的页面、实际上却是在向恶意软件的幕后主使授予权限和相关数据。

Bitdefender 威胁研究和报告主管 Bogdan Botezatu 称之为“迄今为止最强大的 Android 恶意软件之一”,其最终目标是完全控制设备并染指用户账户。

为了不被发现,多年来 Mandrake 已经在谷歌 Play 商店里通过各种明目进行了传播,以及使用不同的开发者名称来打造诸多全新的应用。

此外为了给维持用户眼中“可信赖”的错误印象,开发者对“正经功能”的反馈响应也很是积极,甚至某些 App 还有与之关联的社交媒体活跃账号。

android高危权限(自16年起MandrakeAndroid一直在窃取用户数据)(3)

然而一旦恶意软件收集到了所有的数据,它便能够从设备上完全擦除自己的痕迹,导致用户根本不知道自己都经历了什么。

有鉴于此,我们还是建议大家尽量留意开发者的信誉是否良好,且不要通过不靠谱的平台去下载 App 。

同样的软件开发者应为开发的软件部署代码签名证书,代码签名可以提供和客户购买的压缩软件同样的安全性,包括发布者的名称,以及避免恶意软件入侵和其他危害。代码签名证书使用特殊的数字签名对发布者的身份和软件进行绑定。伴随着未签名代码一同出现的安全警告被含有软件发布者信息的通知所代替,从而避免用户放弃安装并增加下载率,代码签名会为安装过程增加信用度。

声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代

,