Uma nova versão do spyware para Android Mandrake foi descoberta em cinco aplicativos que foram baixados 32 mil vezes no Google Play, loja de aplicativos oficial da plataforma.
A Bitdefender documentou o Mandrake pela primeira vez em 2020, com pesquisadores destacando as capacidades avançadas de espionagem do malware e observando que ele está à solta desde pelo menos 2016.
A Kaspersky Lab agora relata que uma nova variante do Mandrake com melhores recursos de ofuscação e evasão entrou no Google Play por meio de cinco aplicativos enviados à Loja em 2022.
Esses aplicativos estão disponíveis há pelo menos um ano, mas o último e mais bem-sucedido em termos de popularidade e infecções, o AirFS, foi removido no final de março de 2024.
Fonte: Kaspersky
A Kaspersky Lab identificou cinco aplicativos desenvolvidos pela Mandrake:
- AirFS – Compartilhamento de arquivos via Wi-Fi por it9042 (30.305 downloads de 28 de abril de 2022 a 15 de março de 2024)
- astro explorador por Shevabad (718 downloads de 30 de maio de 2022 a 6 de junho de 2023)
- âmbar por kodaslda (19 downloads de 27 de fevereiro de 2022 a 19 de agosto de 2023)
- pulso criptográfico por Shevabad (790 downloads de 2 de novembro de 2022 a 6 de junho de 2023)
- matriz cerebral por kodaslda (259 downloads de 27 de abril de 2022 a 6 de junho de 2023)
A empresa de segurança cibernética disse que a maioria dos downloads veio do Canadá, Alemanha, Itália, México, Espanha, Peru e Reino Unido.
Fonte: Kaspersky
evitar detecção
Ao contrário do típico malware Android que coloca lógica maliciosa no arquivo DEX de um aplicativo, o Mandrake esconde seus estágios iniciais em uma biblioteca nativa ‘libopencv_dnn.so’ e usa OLLVM para ofuscá-lo altamente.
Depois que o aplicativo malicioso é instalado, a biblioteca exporta uma função que descriptografa o carregador de segundo estágio DEX da pasta de ativos e o carrega na memória.
A solicitação do segundo estágio permite que a sobreposição seja desenhada e carregue uma segunda biblioteca nativa 'libopencv_java3.so' que descriptografa o certificado para comunicação segura com o servidor de comando e controle (C2).
Após estabelecer comunicação com o C2, o aplicativo envia o perfil do dispositivo e, se julgar apropriado, recebe os componentes principais do Mandrake (estágio 3).
Depois que seus componentes principais são ativados, o spyware Mandrake pode realizar uma ampla gama de atividades maliciosas, incluindo coleta de dados, gravação e monitoramento de tela, execução de comandos, simulação de deslizamentos e toques do usuário, gerenciamento de arquivos e instalação de aplicativos.
Em particular, os agentes de ameaças pretendem levar os usuários a instalar mais APKs maliciosos, exibindo notificações que imitam o Google Play e enganam os usuários para que instalem arquivos inseguros por meio de processos aparentemente confiáveis.
De acordo com a Kaspersky Lab, o malware também usa um método de instalação baseado em sessão para contornar as restrições do Android 13 (e posteriores) na instalação de APKs de fontes não oficiais.
Assim como outros malwares para Android, o Mandrake funciona furtivamente, pedindo permissão aos usuários para ser executado em segundo plano e ocultando o ícone do aplicativo conta-gotas nos dispositivos das vítimas.
A versão mais recente do malware também inclui recursos de evasão de ataques e verifica especificamente a presença do Frida, um kit de ferramentas de instrumentação dinâmica popular entre analistas de segurança.
Ele também verifica o status raiz do dispositivo, procura binários específicos associados a ele, verifica se a partição do sistema está montada como somente leitura e se as configurações de desenvolvimento e ADB estão habilitadas no dispositivo.
A ameaça Mandrake permanece e, embora os cinco aplicativos identificados pela Kaspersky como droppers não estejam mais disponíveis no Google Play, o malware pode retornar por meio de novos aplicativos difíceis de detectar.
Os usuários do Android só devem instalar aplicativos de editores confiáveis, verificar os comentários dos usuários antes de instalar, evitar permitir solicitações de permissão arriscadas que possam não estar relacionadas à funcionalidade do aplicativo e garantir que o Play Protect esteja sempre ativo.
