Você leu por muito tempo? Mantenha simples…
Qual é a história?
Uma nova variante do spyware Android Mandrake foi descoberta em cinco aplicativos no Google Play.
Esses aplicativos infectados foram baixados 32 mil vezes desde 2021.
A versão original do Mandrake foi identificada pela primeira vez pelo Bitdefender em 2020 e está em operação desde pelo menos 2016.
As variantes mais recentes são mais sofisticadas com técnicas aprimoradas de evasão e ofuscação.
O spyware Mandrake se espalhou para 5 aplicativos desde 2021
Novas variantes do Mandrake foram introduzidas no Google Play por meio de cinco aplicativos enviados à loja em 2022.
Esses aplicativos permaneceram ativos por mais de um ano, mas o último, AirFS, foi removido no final de março de 2024.
Os aplicativos que a Kaspersky identificou como portadores do Mandrake são AirFS, Astro Explorer, Amber, CryptoPulsing e Brain Matrix.
Entre eles, o AirFS é o mais baixado, com mais de 30 mil downloads de 28 de abril de 2022 a 15 de março de 2024.
A maioria dos downloads de aplicativos infectados veio de 7 países
A maioria desses downloads vem do Canadá, Alemanha, Itália, México, Espanha, Peru e Reino Unido.
Ao contrário do típico malware Android que incorpora lógica maliciosa no arquivo DEX de um aplicativo, o Mandrake esconde seus estágios iniciais em uma biblioteca nativa altamente ofuscada chamada ‘libopencv_dnn.so’.
Depois que o aplicativo malicioso é instalado, esta biblioteca exporta uma função que descriptografa o carregador de segundo estágio DEX da pasta de ativos e o carrega na memória.
O spyware Mandrake pode realizar várias atividades maliciosas
Uma vez ativado, o spyware Mandrake pode realizar uma variedade de atividades maliciosas.
Isso inclui coleta de dados, gravação e monitoramento de tela, execução de comandos, simulação de deslizamento e toque do usuário, gerenciamento de arquivos e instalação de aplicativos.
O malware também pode solicitar que os usuários instalem mais APKs maliciosos, exibindo notificações que imitam o Google Play.
Ameaça de spyware Mandrake: como manter os usuários do Android protegidos
Embora os aplicativos identificados tenham sido removidos do Google Play, a ameaça Mandrake ainda existe.
Para permanecerem protegidos, os usuários do Android só devem instalar aplicativos de editores confiáveis, revisar os comentários dos usuários antes de instalar e evitar permitir solicitações de permissão perigosas não relacionadas à funcionalidade do aplicativo. Recomendamos que você garanta que o Google Play Protect esteja sempre ativo.
Ao tomar essas medidas, você pode reduzir o risco de se tornar vítima desse tipo de spyware avançado.
