In un recente rapporto di Kaspersky, è emerso che una nuova variante del malware Android, noto come Mandrake, è stata rilevata in cinque applicazioni scaricate 32.000 volte dal Google Play Store.
Questa variante presenta metodi di offuscamento e di evasione avanzati, infiltrandosi attraverso applicazioni pubblicate nel 2022 e rimaste disponibili almeno un anno e fino a marzo 2024 in casi specifici.
Lo spyware Mandrake è stato scoperto per la prima volta da Bitdefender nel 2020, e si sospetta sia operativo dal 2016. Risulta particolarmente pericoloso a causa delle sue capacità di spionaggio sofisticate e della capacità di nascondersi efficacemente all'interno dei dispositivi infetti.
Le cinque app identificate da Kaspersky che veicolavano il malware includevano:
- AirFS – Condivisione file via Wi-Fi di it9042 (30.305 download tra il 28 aprile 2022 e il 15 marzo 2024)
- Astro Explorer di shevabad (718 download dal 30 maggio 2022 al 6 giugno 2023)
- Amber di kodaslda (19 download tra il 27 febbraio 2022 e il 19 agosto 2023)
- CryptoPulsing di shevabad (790 download dal 2 novembre 2022 al 6 giugno 2023)
- Brain Matrix di kodaslda (259 download tra il 27 aprile 2022 e il 6 giugno 2023)
La maggior parte delle infezioni è stata registrata in Italia, Canada, Germania, Messico, Spagna, Perù e Regno Unito.
Questo malware utilizza una libreria nativa chiamata libopencv_dnn.so, offuscata attraverso OLLVM, per iniziare il suo processo di infezione. Dopo l'installazione dell'app malevola, questa libreria carica una seconda fase all'interno del dispositivo che richiede permessi per sovrapporsi ad altre app e procede con il caricamento di un'altra libreria nativa. Questa seconda libreria, libopencv_java3.so, ha il compito di decrittografare un certificato per comunicazioni sicure con il server di comando e controllo.
Una volta stabilita la comunicazione con il server, l'applicazione invia un profilo del dispositivo e, se considerato idoneo, riceve e attiva il componente principale del malware Mandrake. Da qui, il malware è in grado di raccogliere dati, registrare lo schermo, eseguire comandi, simulare interazioni dell'utente, gestire file e installare altre applicazioni maligne.
Inoltre, Mandrake utilizza sofisticate tecniche per bypassare le restrizioni delle nuove versioni di Android, come la proibizione di installare APK da fonti non ufficiali, e per evitare la rilevazione, monitora se strumenti di analisi come Frida sono attivi sul dispositivo.
Google ha rilasciato una dichiarazione in merito agli sforzi per combattere queste minacce:
“Google Play Protect migliora continuamente con ogni app identificata. Stiamo sempre potenziando le sue capacità, tra cui l'imminente rilevamento delle minacce in tempo reale per aiutare a combattere l'offuscamento e le tecniche anti-evasione”, ha dichiarato Google. “Gli utenti Android sono automaticamente protetti contro le versioni note di questo malware da Google Play Protect, che è attivo per impostazione predefinita sui dispositivi Android con Google Play Services. Google Play Protect è in grado di avvertire gli utenti o di bloccare le applicazioni note per il loro comportamento dannoso, anche quando queste provengono da fonti esterne a Play”.