# Một phiên bản mới của phần mềm gián điệp Android tinh vi mang tên Mandrake

Một phiên bản mới của phần mềm gián điệp Android tinh vi mang tên Mandrake đã được phát hiện trong 5 ứng dụng có sẵn, tải xuống từ Google Play Store và tồn tại mà không bị phát hiện.

<figure><img src="/files/yoKuv3vzRHIglnPfU4CF" alt=""><figcaption></figcaption></figure>

Các ứng dụng này đã thu hút tổng cộng hơn 32.000 lượt cài đặt trước khi bị gỡ khỏi Store. Phần lớn các lượt tải xuống đến từ Canada, Đức, Ý, Mexico, Tây Ban Nha, Peru và Vương quốc Anh.

Các ứng dụng chứa Mandrake bao gồm:

AirFS (com.airft.ftrnsfr) Amber (com.shrp.sght) Astro Explorer (com.astro.dscvr) CryptoPulsing (com.cryptopulsing.browser)

Khi 1 trong các ứng dụng này được tải xuống thiết bị thành công, sẽ khởi chạy thành 3 giai đoạn tấn công:

Dropper: Khởi chạy một loader chịu trách nhiệm thực thi thành phần chính của phần mềm độc hại sau khi tải xuống và giải mã nó từ máy chủ command-and-control (C2).

Payload Giai Đoạn 2: Có khả năng thu thập thông tin về trạng thái kết nối của thiết bị, ứng dụng đã cài đặt, phần trăm pin, địa chỉ IP bên ngoài và phiên bản Google Play hiện tại. Hơn nữa, nó có thể xóa mô-đun cốt lõi và yêu cầu quyền để vẽ lớp phủ và chạy nền.

Payload Giai Đoạn 3: Hỗ trợ các lệnh bổ sung để tải một URL cụ thể trong WebView và bắt đầu một phiên chia sẻ màn hình từ xa cũng như ghi lại màn hình thiết bị với mục tiêu đánh cắp thông tin đăng nhập của nạn nhân và thả thêm phần mềm độc hại.

Google cho biết đang liên tục củng cố các biện pháp bảo vệ Google Play Protect (GPP). Người dùng Android được bảo vệ tự động bởi GPP trước các phiên bản đã bị phát hiện của phần mềm độc hại này. GPP có thể cảnh báo người dùng hoặc chặn các ứng dụng khi phát hiện ra có hành vi độc hại, ngay cả khi những ứng dụng đó đến từ các nguồn bên ngoài Store.

Group Whitehat/Facebook

{% embed url="<https://l.facebook.com/l.php?__tn__=R]-R&c[0]=AT1dyKBUUTcL5ZQ5W-eWvcGP_4Bh3NwxN_hWWhTrWKmZN5u5vdxaH4O69YvRUDJDPgWuHIhljUlbObBo9WGKmuUYOF4sRbLs50mNZPQUn65fPmGHpBV_nh8iiGkV0XRhyw6cKTw-fvM0pllP0lOmE_jdD_UV6V8j3kfSQPTvhoAp-XeeKFWARTbUXIR4AYooX1VT1KQoIlTEjklHHfHw2vzY6jwhC-euwhinunMfPO9MBLYNipFYsdjISE8BUQhL8HHLdQ1wt3tDdQ&h=AT0RFmNx1yU29pm3HRzaYK3_ZaIElw1R6grNocC73dgcbjVMgInAobKGav-FSNSob03HLw7o3NRjnzCy3ECDbT6uKrcg3Hup6JcuRvZayxQaLYvCCZwhnyP9dta4C0fenfohxFHaVJgE2w&u=https://whitehat.vn/threads/phat-hien-phan-mem-gian-diep-mandrake-moi-trong-cac-ung-dung-tren-google-play-store.18051/?fbclid=IwZXh0bgNhZW0CMTAAAR0BVMVOLd_FjErrZ9aExex05kl9DCnV17OgqXyCDHFTq5q2H5LwlRI0mQ4_aem_920ryGsqnPTqP-U1Fe2zbQ>" %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://phantanloc.gitbook.io/locpt_wiki/homepage/2.it-cntt/2.4-by-group-whitehat-facebook/mot-phien-ban-moi-cua-phan-mem-gian-diep-android-tinh-vi-mang-ten-mandrake.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.