Une nouvelle it\u00e9ration d’un logiciel espion Android sophistiqu\u00e9 appel\u00e9 Mandragore<\/strong> a \u00e9t\u00e9 d\u00e9couvert dans cinq applications disponibles en t\u00e9l\u00e9chargement sur le Google Play Store et est rest\u00e9 ind\u00e9tect\u00e9 pendant deux ans.<\/p>\n Les applications ont attir\u00e9 plus de 32 000 installations avant d’\u00eatre retir\u00e9es de la boutique d’applications, a indiqu\u00e9 Kaspersky dans un communiqu\u00e9 publi\u00e9 lundi. La majorit\u00e9 des t\u00e9l\u00e9chargements provenaient du Canada, d’Allemagne, d’Italie, du Mexique, d’Espagne, du P\u00e9rou et du Royaume-Uni.<\/p>\n \u00ab Les nouveaux \u00e9chantillons comprenaient de nouvelles couches de techniques d’obscurcissement et d’\u00e9vasion, telles que le d\u00e9placement de fonctionnalit\u00e9s malveillantes vers des biblioth\u00e8ques natives obscurcies, l’utilisation de l’\u00e9pinglage de certificats pour les communications C2 et l’ex\u00e9cution d’un large \u00e9ventail de tests pour v\u00e9rifier si Mandrake fonctionnait sur un appareil root\u00e9 ou dans un environnement \u00e9mul\u00e9 \u00bb, ont d\u00e9clar\u00e9 les chercheurs Tatyana Shishkova et Igor Golovin. dit<\/a>.<\/p>\n Mandragore \u00e9tait premier document\u00e9<\/a> par le fournisseur roumain de cybers\u00e9curit\u00e9 Bitdefender en mai 2020, d\u00e9crivant son approche d\u00e9lib\u00e9r\u00e9e pour infecter une poign\u00e9e d’appareils tout en r\u00e9ussissant \u00e0 se cacher dans l’ombre depuis 2016.<\/p>\n Les variantes mises \u00e0 jour se caract\u00e9risent par l’utilisation de OLLVM<\/a> pour dissimuler la fonctionnalit\u00e9 principale, tout en int\u00e9grant un \u00e9ventail de techniques d’\u00e9vasion de sandbox et d’anti-analyse pour emp\u00eacher l’ex\u00e9cution du code dans des environnements exploit\u00e9s par des analystes de logiciels malveillants. <\/p>\n La liste des applications contenant Mandrake est ci-dessous –<\/p>\n Le pack d’applications se d\u00e9compose en trois \u00e9tapes : un dropper qui lance un chargeur charg\u00e9 d’ex\u00e9cuter le composant principal du malware apr\u00e8s l’avoir t\u00e9l\u00e9charg\u00e9 et d\u00e9crypt\u00e9 \u00e0 partir d’un serveur de commande et de contr\u00f4le (C2).<\/p>\n La charge utile de la deuxi\u00e8me \u00e9tape est \u00e9galement capable de collecter des informations sur l’\u00e9tat de connectivit\u00e9 de l’appareil, les applications install\u00e9es, le pourcentage de batterie, l’adresse IP externe et la version actuelle de Google Play. En outre, il peut effacer le module principal et demander des autorisations pour dessiner des superpositions et s’ex\u00e9cuter en arri\u00e8re-plan.<\/p>\n La troisi\u00e8me \u00e9tape prend en charge des commandes suppl\u00e9mentaires pour charger une URL sp\u00e9cifique dans une WebView et lancer une session de partage d’\u00e9cran \u00e0 distance ainsi que pour enregistrer l’\u00e9cran de l’appareil dans le but de voler les informations d’identification des victimes et de diffuser davantage de logiciels malveillants.<\/p>\n \u00ab Android 13 a introduit la fonctionnalit\u00e9 \u00ab Param\u00e8tres restreints \u00bb, qui interdit aux applications t\u00e9l\u00e9charg\u00e9es de demander directement des autorisations dangereuses \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab Pour contourner cette fonctionnalit\u00e9, Mandrake traite l’installation avec un \u00ab bas\u00e9 sur la session<\/a>‘ installateur de paquets.”<\/p>\n L’entreprise de s\u00e9curit\u00e9 russe a d\u00e9crit Mandrake comme un exemple de menace en constante \u00e9volution qui affine constamment son savoir-faire pour contourner les m\u00e9canismes de d\u00e9fense et \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n \u00ab Cela met en \u00e9vidence les formidables comp\u00e9tences des acteurs de la menace, et \u00e9galement le fait que des contr\u00f4les plus stricts pour les applications avant leur publication sur les march\u00e9s ne se traduisent que par des menaces plus sophistiqu\u00e9es et plus difficiles \u00e0 d\u00e9tecter qui se faufilent dans les march\u00e9s d’applications officiels \u00bb, a-t-il d\u00e9clar\u00e9.<\/p>\n Contact\u00e9 par The Hacker News, Google a d\u00e9clar\u00e9 qu’il renfor\u00e7ait continuellement les d\u00e9fenses de Google Play Protect \u00e0 mesure que de nouvelles applications malveillantes \u00e9taient signal\u00e9es et qu’il am\u00e9liorait ses capacit\u00e9s pour inclure la d\u00e9tection des menaces en direct afin de lutter contre les techniques d’obfuscation et d’anti-\u00e9vasion.<\/p>\n \u00ab Les utilisateurs d’Android sont automatiquement prot\u00e9g\u00e9s contre les versions connues de ce malware par Google Play Protect, qui est activ\u00e9 par d\u00e9faut sur les appareils Android \u00e9quip\u00e9s des services Google Play \u00bb, a d\u00e9clar\u00e9 un porte-parole de Google. \u00ab Google Play Protect peut avertir les utilisateurs ou bloquer les applications connues pour pr\u00e9senter un comportement malveillant, m\u00eame lorsque ces applications proviennent de sources ext\u00e9rieures \u00e0 Play. \u00bb<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Un-nouveau-logiciel-espion-Mandrake-a-ete-detecte-dans-les.png\")
<\/a><\/center><\/section>\n\n
<\/a><\/div>\n