Специалисты из компании Bitdefender рассказали о вредоносной кампании, в рамках которой шпионское вредоносное ПО, получившее название Mandrake, на протяжении четырех лет скрывалось в магазине Google Play Store под видом криптовалютного кошелька Coinbase, Gmail, браузера Google Chrome, сервиса конвертации валют XE, PayPal, а также приложений Amazon и различных банков Австралии и Германии.

Вредонос имеет сложную структуру, позволяющую его операторам избегать обнаружения с помощью обычного сканирования. Замаскированный под легитимные приложения, Mandrake позволял своим операторам следить практически за всеми действиями жертвы на мобильном устройстве. Как только жертва устанавливала вредоносное приложение, компонент-загрузчик загружал на устройство вредонос.

В отличие от обычных загрузчиков, загрузчики Mandrake способны удаленно включать Wi-Fi, собирать информацию об устройстве, скрывать свое присутствие и уведомления, а также автоматически устанавливать новые приложения. Компоненты одного из загрузчиков Mandrake, представленные пользователям под видом CAPTCHA, помогали вредоносной программе избежать обнаружения. Они могли определить, запускалась ли программа на виртуальной машине или эмуляторе.

Установка вредоносного ПО Mandrake позволяло полностью скомпрометировать целевое устройство, предоставив привилегии администратора для пересылки всех входящих SMS-сообщений на сервер операторов вредоноса или на указанный номер, отправки текстов, совершения звонков, кражи информации из списка контактов, активации и записи GPS-координат, кражи учетных данных Facebook и финансовых приложений, запись экрана и инициирование сброса к заводским настройкам с целью стереть все пользовательские данные и саму вредоносную программу в процессе.

По словам специалистов, число жертв может исчисляться десятками тысяч, однако в каждом случае атака была инициирована ​операторами, а не полностью автоматизирована, как это делают многие семейства вредоносных программ.

Эксперты проанализировали учетные записи разработчиков в Google Play Store, связанные с вредоносом, и выявили российского внештатного разработчика, скрывающегося за сетью поддельных web-сайтов компании, похищенных удостоверений личности и адресов электронной почты, а также поддельных объявлений о работе в Северной Америке.