Новая версия Android-трояна Mandrake два года лежала в Google Play

Новая версия Android-трояна Mandrake два года лежала в Google Play

Новая версия Android-трояна Mandrake два года лежала в Google Play

На просторах официального магазина Google Play нашли новую версию Android-трояна Mandrake. Как сообщили в «Лаборатории Касперского», вредонос под видом разных приложений распространялся с 2022 по 2024 год.

Программы, выступающие прикрытием для Mandrake, были доступны во многих странах. В общей сложности их загрузили на устройства как минимум 32 тысячи раз.

Если трояну Mandrake удавалось пробраться на устройство жертвы, он старался извлечь и передать операторам учётные данные. Помимо этого, зловред мог в режиме реального времени транслировать киберпреступникам активность на дисплее заражённого девайса.

Таким образом, у злоумышленников была возможность нажимать на кнопки вместо пользователя и выполнять другие действия. Если этого было мало, Mandrake мог загрузить другие вредоносные приложения.

В качестве софта-приманки в этой кампании использовались приложения для отслеживания курса криптовалют, различные мобильные игры, посвящённый теме космоса сервис и файлообменник. Именно последний, кстати, набрал больше всего скачиваний — 30 тысяч.

Очередное напоминание: старайтесь всегда читать отзывы, потому что зачастую по ним видно, что с софтом что-то не так. Например, в случае с фейковым файлообменником, которым прикрывался Mandrake, люди писали, что либо программа не работает, либо крадёт данные.

Новая версия, по словам Kaspersky, отличается дополнительными методами обфускации, что затрудняет анализ вредоноса. Эти же методы помогли трояну пробраться в Google Play Store.

Интересно, что Mandrake умеет проверять устройство на наличие запущенных песочниц и инструментов отладки. На сегодняшний день защитные средства «Лаборатории Касперского» детектируют Mandrake как HEUR:Trojan-Spy.AndroidOS.Mandrake.

В ONLYOFFICE нашли цепочку уязвимостей: достаточно открыть один файл

Эксперты BI.ZONE обнаружили в ONLYOFFICE Desktop Editors цепочку уязвимостей OnlyShells, которая позволяла атакующему выполнить произвольный код и повысить привилегии в Windows. Жертве достаточно открыть специально подготовленный офисный документ.

Никаких макросов, кнопок «Разрешить содержимое» и долгих уговоров — атака относится к классу 1-click.

Сначала злоумышленник мог использовать сразу несколько уязвимостей для запуска своего кода в системе. Затем ещё одна проблема позволяла повысить права до привилегированного пользователя. В результате атакующий получал максимально широкий доступ к компьютеру.

Причиной стали недостаточная проверка пользовательских данных и устаревшие зависимости. Отдельным уязвимостям присвоили оценки до 6,4 по шкале CVSS 3.1, но в связке их опасность заметно возрастала.

По оценке BI.ZONE TDR, ONLYOFFICE используют около 30% российских компаний. Сам разработчик заявляет о более чем 15 млн пользователей по всему миру.

В BI.ZONE отмечают, что современные средства защиты могут не заметить сам момент эксплуатации цепочки. То есть пользователь просто открывает документ, а дальше система уже начинает жить немного не своей жизнью.

Разработчика уведомили в рамках ответственного раскрытия, после чего он выпустил исправление. Пользователям рекомендуют обновить ONLYOFFICE Desktop Editors до версии 9.3.0.

RSS: Новости на портале Anti-Malware.ru