Un nuovo aggiornamento del sofisticato spyware Android, noto come Mandrake, è stato individuato in cinque applicazioni disponibili per il download su Google Play Store, rimanendo inosservato per ben due anni.
Secondo Kaspersky, queste applicazioni hanno attratto più di 32.000 installazioni prima di essere rimosse dal negozio. La maggior parte dei download proviene da Canada, Germania, Italia, Messico, Spagna, Perù e Regno Unito, come dichiarato dai ricercatori Tatyana Shishkova e Igor Golovin.
I nuovi campioni includono strati aggiuntivi di offuscamento e tecniche di evasione, come lo spostamento delle funzionalità dannose in librerie native offuscate, l’uso del pinning dei certificati per le comunicazioni C2 e una vasta gamma di test per verificare se Mandrake fosse in esecuzione su un dispositivo roottato o in un ambiente emulato.
Mandrake è stato documentato per la prima volta dal vendor di cybersecurity rumeno Bitdefender nel maggio 2020, che descriveva il suo approccio deliberato per infettare un numero limitato di dispositivi, rimanendo nascosto sin dal 2016. Ad oggi, il malware non è stato attribuito a nessun attore o gruppo specifico.
Le nuove varianti si distinguono per l’uso di OLLVM per nascondere la funzionalità principale e includono una serie di tecniche di evasione da sandbox e anti-analisi per prevenire l’esecuzione del codice in ambienti controllati dagli analisti di malware.
Ecco l’elenco delle app contenenti Mandrake:
- AirFS (com.airft.ftrnsfr)
- Amber (com.shrp.sght)
- Astro Explorer (com.astro.dscvr)
- Brain Matrix (com.brnmth.mtrx)
- CryptoPulsing (com.cryptopulsing.browser)
Le tre fasi di attacco dello spyware Mandrake
Le applicazioni infette operano in tre fasi: una fase dropper che lancia un loader responsabile dell’esecuzione del componente principale del malware dopo averlo scaricato e decriptato da un server di comando e controllo (C2).
Il payload della seconda fase è in grado di raccogliere informazioni sullo stato della connettività del dispositivo, sulle applicazioni installate, sulla percentuale di batteria, sull’indirizzo IP esterno e sulla versione attuale di Google Play. Inoltre, può cancellare il modulo principale e richiedere permessi per sovrapporre schermate e operare in background.
La terza fase supporta comandi aggiuntivi per caricare un URL specifico in una WebView, avviare una sessione di condivisione remota dello schermo e registrare lo schermo del dispositivo con l’obiettivo di rubare le credenziali delle vittime e distribuire ulteriori malware:
Android 13 ha introdotto la funzione ‘Impostazioni Restrittive’, che vieta alle applicazioni caricate lateralmente di richiedere direttamente permessi pericolosi. Per bypassare questa funzione, Mandrake gestisce l’installazione con un installer di pacchetti basato su sessioni.
Un esempio di minaccia in continua evoluzione
La società di sicurezza russa ha descritto Mandrake come un esempio di minaccia dinamica in continua evoluzione, che affina costantemente le sue tecniche per bypassare i meccanismi di difesa e sfuggire al rilevamento:
Questo mette in evidenza le notevoli capacità degli attori delle minacce, oltre al fatto che controlli più rigidi per le applicazioni prima della pubblicazione nei mercati si traducono solo in minacce più sofisticate e difficili da rilevare che si insinuano nei marketplace ufficiali delle app,.
Google ha dichiarato di rafforzare continuamente le difese di Google Play Protect mentre nuove app dannose vengono identificate, migliorando le capacità di rilevamento delle minacce in tempo reale per affrontare tecniche di offuscamento e anti-evasione:
Gli utenti Android sono automaticamente protetti contro le versioni note di questo malware da Google Play Protect, che è attivato per impostazione predefinita sui dispositivi Android con Google Play Services. Google Play Protect può avvisare gli utenti o bloccare le app che mostrano comportamenti dannosi, anche quando provengono da fonti esterne a Play.