แคสเปอร์สกี้ค้นพบสปายแวร์ Mandrake แพร่กระจายบน Google Play อีกครั้ง โดยปลอมตัวเป็นแอปเกี่ยวกับสกุลเงินดิจิทัล แอปดูดาว และอื่นๆ ซึ่งแอปทั้งหมดนี้ยอดดาวน์โหลดรวมกว่า 32,000 ครั้ง
สำหรับ Mandrake เป็นสปายแวร์ที่ซับซ้อน พัฒนาขึ้นตั้งแต่ปี 2016 และเคยถูกตรวจพบครั้งแรกในปี 2020
ตอนนี้มี Mandrake เวอร์ชันใหม่นี้มีการปรับปรุงฟังก์ชันการทำงานและเทคนิคหลบเลี่ยงการตรวจจับที่ซับซ้อนมากขึ้น เช่น การใช้ OLLVM เพื่อปกปิดฟังก์ชันที่เป็นอันตราย การใช้ใบรับรองเพื่อสื่อสารอย่างปลอดภัยกับเซิร์ฟเวอร์ และการตรวจสอบสภาพแวดล้อมการทำงาน
สิ่งที่น่ากังวลคือ Mandrake เวอร์ชันใหม่นี้สามารถหลบเลี่ยงการตรวจสอบความปลอดภัยของ Google Play ได้นานถึง 2 ปี และแอปที่ติด Mandrake ถูกปล่อยบน Google Play ตั้งแต่ปี 2022 และก็ไม่มีแอปใดถูกตรวจพบว่าเป็นอันตรายจนถึงเดือนกรกฎาคม 2024 แม้ว่าแอปเหล่านี้จะถูกลบออกไปแล้ว แต่ก็เคยมีให้ดาวน์โหลดในหลายประเทศ และก็เคยมีคนที่โหลดไปแล้ว
มีหลักฐานที่เชื่อได้ว่า ผู้พัฒนา Mandrake น่าจะเป็นกลุ่มเดียวกับที่เคยพบก่อนหน้านี้ การกลับมาของ Mandrake ครั้งนี้แสดงให้เห็นถึงความซับซ้อนของภัยคุกคามบนแอปสโตร์ที่เพิ่มขึ้นเรื่อยๆ และความยากลำบากในการตรวจจับภัยคุกคามเหล่านี้
วิธีรับมือกับ Mandrake คือ
1.อย่าไปโหลดแอปนอก ถึงแม้ว่า เคสนี้ Google จะพลาดอีกแล้วก็ตาม
2.อย่ากดลิงก์ดาวน์โหลดแอปจากสื่อต่าง ๆ ที่ไม่น่าไว้ใจ
3.ติดตั้งซอฟต์แวร์รักษาความปลอดภัยเพิ่มเติม
ที่มา Kaspersky
