Mandrake: O Nouă Campanie de Spyware Identificată pe Google Play

Descoperirea și Impactul Campaniei Mandrake

Cercetătorii de la Kaspersky au dezvăluit o campanie de spyware sofisticată folosind malware-ul Mandrake, ascuns în aplicații aparent legitime pe Google Play. Această campanie, activă de aproximativ doi ani, a infectat peste 32.000 de dispozitive înainte de a fi detectată.

Caracteristicile Malware-ului Mandrake

Mandrake a fost inițial identificat de Bitdefender în 2020 și este cunoscut pentru complexitatea sa și tehnicile avansate de camuflaj. Kaspersky a descoperit o variantă actualizată în aprilie 2024, care include îmbunătățiri semnificative:

1. Camuflaj Avansat:
   • Biblioteci Nativ: Funcționalitățile rău intenționate sunt mutate în biblioteci native pentru a complica detectarea.
   • Fixare a Certificatelor: Asigură comunicarea securizată cu serverele C2, prevenind interceptarea datelor.
   • Teste de Mediu: Rulează teste pentru a verifica dacă malware-ul este executat pe un dispozitiv real sau într-un mediu virtualizat.
2. Procesul de Infecție în Trei Etape:
   • Dropper: Descarcă un loader.
   • Loader: Descarcă și decriptează componenta principală.
   • Componenta Principală: Execută activitatea rău intenționată.

Aplicațiile Infiltrate pe Google Play

Kaspersky a identificat cinci aplicații care conțineau spyware-ul Mandrake:

1. AirFS (com.airft.ftrnsfr)
2. Amber (com.shrp.sght)
3. Astro Explorer (com.astro.dscvr)
4. Brain Matrix (com.brnmth.mtrx)
5. CryptoPulsing (com.cryptopulsing.browser)

Aceste aplicații au fost disponibile pe Google Play timp de cel puțin un an și nu au fost detectate ca fiind malițioase de niciun furnizor de securitate până în iulie 2024.

Distribuția și Impactul Geografic

Aplicațiile infectate au fost descărcate în principal în următoarele țări:

• Canada
• Germania
• Italia
• Mexic
• Spania
• Peru
• Marea Britanie

Deși aplicațiile au fost eliminate de pe Google Play, ele au reușit să infecteze 32.000 de dispozitive, rămânând nedetectate timp de doi ani datorită tehnicilor avansate de camuflaj.

Concluzie și Recomandări

Descoperirea campaniei Mandrake subliniază necesitatea unei vigilențe sporite în ceea ce privește securitatea aplicațiilor descărcate de pe Google Play. Utilizatorii ar trebui să:

• Fie atenți la permisiunile solicitate de aplicații.
• Actualizeze constant software-ul de securitate.
• Descarce aplicații doar de la dezvoltatori de încredere.

În contextul interdicțiilor asupra software-ului Kaspersky în anumite regiuni, este crucial ca utilizatorii și organizațiile să adopte măsuri de securitate alternative și să fie conștienți de riscurile asociate aplicațiilor mobile.