Mandrake 是Android行動生態系統中反覆出現的網路威脅。研究人員幾年前就發現了受Mandrake 感染的應用程序，而現在這種惡意軟體顯然又捲土重來，並採用了更複雜的技術來躲避最新的安全保護措施。

Mandrake 惡意軟體家族最初是在2020 年被Bitdefender 發現的。這家羅馬尼亞網路安全公司在兩次大的感染潮中偵測到了這項威脅，第一次是2016-2017年在Google Play上供下載的虛假應用程式中，第二次是2018-2020年。 Mandrake 最顯著的特點是能夠在Google的檢測之下潛行並感染大量用戶，據估計在四年時間裡感染了”數十萬”用戶。

最初的幾波Mandrake 感染採用了幾種技巧來掩蓋它們的存在。該惡意軟體的設計目的是將其最終的惡意有效載荷發送給特定的、具有高度針對性的受害者，它甚至包含一個”seppuku”死亡開關，能夠清除設備上的所有感染痕跡。

隱藏Mandrake 惡意軟體的假冒應用程式是功能齊全的”誘餌”，類別包括金融、汽車、視訊播放器和其他流行的應用程式類型。網路犯罪分子，也可能是為此任務招募的第三方開發人員，迅速修復了用戶在Play Store 評論區報告的漏洞。此外，也使用TLS 憑證來隱藏惡意軟體與命令和控制(C&C) 伺服器之間的通訊。

Mandrake惡意軟體家族在造成第一批受害者後，似乎就從Android生態系統中消失了。現在，卡巴斯基發現了新一波受感染的應用程序，它們比以前更難檢測和分析。這種”新一代”惡意軟體使用多層程式碼混淆技術來阻止分析和繞過Google的掃描演算法，並對基於沙盒的分析技術採取特殊對策。

卡巴斯基指出，Mandrake的作者擁有高超的編碼技術，這使得惡意軟體的檢測和研究更具挑戰性。據這家俄羅斯安全公司稱，包含Mandrake 的最新應用程式是在3 月15 日更新的，並在當月底從應用程式商店中刪除。 Google和第三方公司都無法將這些新應用程式標記為惡意軟體。

儘管出現了這一波最新的誘餌應用程序，但Mandrake 的主要目的似乎仍未改變。該惡意軟體旨在透過記錄手機顯示器上的內容並將這些記錄傳送到C&C 伺服器，從而竊取用戶的憑證。它還能下載和執行其他惡意有效載荷。

卡巴斯基沒有提供任何有關Mandrake 作者及其動機的進一步資訊或猜測。卡巴斯基公司發現了五款攜帶惡意軟體的應用程序，Google最終從Play Store 中刪除了這些應用程式。

下載白皮書