“Mandrake” é o nome que a Bitdefender deu a um novo tipo de spyware para Android em 2020. Na época, o spyware permaneceu sem ser detectado por quatro anos. Dois anos após o início do surto, uma nova variante do Mandrake foi detectada pela Kaspersky Lab.
Este malware foi baixado um total de 32.000 vezes. O único culpado que teve um impacto moderadamente significativo foi o AirFS, um aplicativo que parece permitir o compartilhamento de arquivos por Wi-Fi. Na realidade, o aplicativo era um spyware sofisticado com um disfarce novo e mais sofisticado. Por exemplo, as cargas úteis ficam ocultas em bibliotecas nativas tradicionais. A instalação dessas bibliotecas também é feita por aplicativos Android legítimos, portanto você não notará quando novas bibliotecas forem adicionadas.
Essa biblioteca então descriptografa o segundo estágio, o carregador DEX, que é carregado na memória. Variantes de malware menos sofisticadas escolhem rapidamente esse curso de ação, mas os analistas de segurança podem detectar tal movimento com muita facilidade. O spyware se comunica com o servidor de comando e controle (C2) por meio de uma segunda biblioteca nativa chamada ‘libopencv_java3.so’.
a fraude continua
Uma vez instalado, os criminosos cibernéticos por trás do Mandrake enganam as vítimas várias vezes. Notificações falsas da Play Store solicitam que os usuários baixem novos arquivos. Esses são novos APKs maliciosos que causam danos adicionais, mas não está claro o que esses APKs estavam fazendo. Os cibercriminosos podem querer vender esse nível de acesso ao telefone a outros invasores.
O spyware Mandrake também reconhece se o kit de ferramentas Frida está presente no seu dispositivo Android. Esta é uma solução amplamente utilizada por especialistas em segurança para detectar comportamentos maliciosos. As outras verificações do Mandrake garantem que o smartphone Android em questão seja um alvo adequado com todas as permissões necessárias. Depois que o usuário aprovar a execução do aplicativo em segundo plano, o invasor conclui o comprometimento.
O impacto poderia ter sido maior
O aplicativo AirFS foi o único com algum grau de sucesso, com 30.305 downloads. Desde então, o aplicativo foi removido da Google Play Store, junto com outros quatro aplicativos que tentaram enviar secretamente o Mandrake aos usuários. Uma vantagem do AirFS é que ele tem muitas avaliações, 2,9 estrelas, e parecia capaz o suficiente para ser instalado sem pensar duas vezes. Para recursos bastante básicos, como compartilhamento de arquivos por Wi-Fi, fica claro que os usuários não pensam muito sobre o aplicativo específico de que precisam para executar a tarefa. Portanto, mesmo que uma classificação de 2,9 seja rebaixada nos resultados de pesquisa, uma classificação medíocre não deterá os usuários.
O Google disse ao BleepingComputer que está melhorando continuamente o Play Protect, seu mecanismo de defesa contra aplicativos maliciosos. No entanto, os aplicativos cruzam essa linha com a mesma frequência. A natureza diversificada do ecossistema Android parece tornar impossível conter o comportamento malicioso de aplicativos. Os usuários que executarem inocentemente o malware detectado atualmente receberão uma notificação do Google, disse a empresa. O problema é que os cibercriminosos também estão tentando se tornar o provedor confiável de notificações push do Google e, até o momento, não há como erradicar esse fenômeno.
Leia também: Como a API de localização da Apple fornece dados de redes Wi-Fi em todo o mundo
