Gli esperti di Kaspersky hanno scoperto cinque applicazioni Mandrake su Google Play, disponibili da due anni, con oltre 32.000 download. Gli ultimi campioni sono caratterizzati da tecniche di offuscamento e di evasione avanzate, che gli consentono di non essere rilevati dai vendor di sicurezza.
Autore: Redazione BitCity
Pubblicato il: 01/08/2024
I ricercatori di Kaspersky hanno identificato una nuova campagna di spyware che diffonde il malware Mandrake attraverso Google Play sotto le sembianze di applicazioni legittime relative a criptovalute, astronomia e strumenti di utility.
Scoperto per la prima volta nel 2020, lo spyware Mandrake è una sofisticata piattaforma di spionaggio Android attiva almeno dal 2016. Nell'aprile del 2024, i ricercatori Kaspersky hanno scoperto un campione sospetto, che suggerisce una nuova versione di Mandrake con funzionalità migliorate. Questi nuovi campioni presentano tecniche avanzate di offuscamento ed elusione, tra cui lo spostamento delle funzioni dannose in librerie native oscurate utilizzando OLLVM, l'implementazione del pinning dei certificati per la comunicazione sicura con i server command and control (C2) e l'esecuzione di controlli approfonditi per rilevare se Mandrake sta operando su un dispositivo rooted o in un ambiente simulato.
La caratteristica principale della nuova variante di Mandrake è l’integrazione delle tecniche avanzate di offuscamento progettate per aggirare i controlli di sicurezza di Google Play e ostacolare l'analisi. Gli esperti di Kaspersky hanno identificato cinque applicazioni contenenti lo spyware Mandrake, scaricate complessivamente più di 32.000 volte. Queste applicazioni, tutte rilasciate su Google Play nel 2022, erano disponibili per il download da almeno un anno. Sono state presentate come un'app per la condivisione di file via Wi-Fi, un'app per i servizi di astronomia, un gioco Amber for Genshin, un'app per le criptovalute e un'app per i puzzle di logica. Secondo VirusTotal, a luglio 2024 nessuna di queste applicazioni è stata rilevata come malware da alcun fornitore.
Sebbene queste applicazioni dannose non siano più presenti su Google Play, erano disponibili in numerosi Paesi, con la maggior parte dei download in Canada, Germania, Italia, Messico, Spagna, Perù e Regno Unito.
Considerando le somiglianze tra la campagna attuale e quella precedente con i domini C2 registrati in Russia, riteniamo che l'attore della minaccia sia lo stesso indicato nel primo report di rilevamento di Bitdefender.
“Dopo aver eluso il rilevamento per quattro anni nelle sue versioni iniziali, l'ultima campagna Mandrake è passata inosservata su Google Play per altri due anni. Questo dimostra le competenze avanzate degli attori delle minacce coinvolti. Inoltre, evidenzia una tendenza preoccupante: con l'inasprimento delle restrizioni e l'aumento dei controlli di sicurezza, cresce il livello di sofisticazione delle minacce che riescono a infiltrarsi negli app store ufficiali, rendendole più difficili da rilevare”, ha commentato Tatyana Shishkova, Lead Security Researcher del GReAT (Global Research and Analysis Team) di Kaspersky.
BitCity e' una testata giornalistica registrata presso il tribunale di Como , n. 21/2007 del 11/10/2007
Iscrizione ROC n. 15698
G11 MEDIA S.R.L. - Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
