I ricercatori di Kaspersky hanno identificato una nuova campagna di spyware che diffonde il malware Mandrake attraverso Google Play sotto le sembianze di applicazioni legittime relative a criptovalute, astronomia e strumenti di utility. Gli esperti di Kaspersky hanno scoperto cinque applicazioni Mandrake su Google Play, disponibili da due anni, con oltre 32.000 download. Gli ultimi campioni sono caratterizzati da tecniche di offuscamento e di evasione avanzate, che gli consentono di non essere rilevati dai vendor di sicurezza.
Scoperto per la prima volta nel 2020, lo spyware Mandrake è una sofisticata piattaforma di spionaggio Android attiva almeno dal 2016. Nell'aprile del 2024, i ricercatori Kaspersky hanno scoperto un campione sospetto, che suggerisce una nuova versione di Mandrake con funzionalità migliorate. Questi nuovi campioni presentano tecniche avanzate di offuscamento ed elusione, tra cui lo spostamento delle funzioni dannose in librerie native oscurate utilizzando OLLVM, l'implementazione del pinning dei certificati per la comunicazione sicura con i server command and control (C2) e l'esecuzione di controlli approfonditi per rilevare se Mandrake sta operando su un dispositivo rooted o in un ambiente simulato.
La caratteristica principale della nuova variante di Mandrake è l’integrazione delle tecniche avanzate di offuscamento progettate per aggirare i controlli di sicurezza di Google Play e ostacolare l'analisi. Gli esperti di Kaspersky hanno identificato cinque applicazioni contenenti lo spyware Mandrake, scaricate complessivamente più di 32.000 volte. Queste applicazioni, tutte rilasciate su Google Play nel 2022, erano disponibili per il download da almeno un anno. Sono state presentate come un'app per la condivisione di file via Wi-Fi, un'app per i servizi di astronomia, un gioco Amber for Genshin, un'app per le criptovalute e un'app per i puzzle di logica. Secondo VirusTotal, a luglio 2024 nessuna di queste applicazioni è stata rilevata come malware da alcun fornitore.
Sebbene queste applicazioni dannose non siano più presenti su Google Play, erano disponibili in numerosi Paesi, con la maggior parte dei download in Canada, Germania, Italia, Messico, Spagna, Perù e Regno Unito.
Considerando le somiglianze tra la campagna attuale e quella precedente con i domini C2 registrati in Russia, riteniamo che l'attore della minaccia sia lo stesso indicato nel primo report di rilevamento di Bitdefender.
“Dopo aver eluso il rilevamento per quattro anni nelle sue versioni iniziali, l'ultima campagna Mandrake è passata inosservata su Google Play per altri due anni. Questo dimostra le competenze avanzate degli attori delle minacce coinvolti. Inoltre, evidenzia una tendenza preoccupante: con l'inasprimento delle restrizioni e l'aumento dei controlli di sicurezza, cresce il livello di sofisticazione delle minacce che riescono a infiltrarsi negli app store ufficiali, rendendole più difficili da rilevare”, ha commentato Tatyana Shishkova, Lead Security Researcher del GReAT (Global Research and Analysis Team) di Kaspersky.
Per saperne di più sulla nuova campagna spyware Mandrake, visitare Securelist.com.
Per proteggersi da minacce come lo spyware Mandrake, gli esperti di Kaspersky suggeriscono:
· Utilizzare i marketplace ufficiali: scaricare applicazioni e software da fonti ufficiali e affidabili ed evitare gli app store di terze parti, poiché il rischio che ospitino app dannose o compromesse è più elevato. Anche le piattaforme ufficiali possono contenere applicazioni dannose, quindi è importante controllare sempre le recensioni e le valutazioni prima di effettuare il download.
· Utilizzare software di sicurezza affidabili: installare un software antivirus e antimalware affidabile sui propri dispositivi. Eseguire regolarmente una scansione dei dispositivi alla ricerca di potenziali minacce e mantenere aggiornato il software di sicurezza. Kaspersky Premium protegge gli utenti da minacce note e sconosciute.
· Informarsi sulle truffe più comuni: essere informati sulle ultime minacce informatiche, tecniche e tattiche. Fare attenzione a proposte indesiderate, offerte sospette o richieste urgenti di informazioni personali o finanziarie.
· I software di terze parti provenienti da fonti note sono spesso privi di garanzia e bisogna tenere presente che tali applicazioni possono contenere componenti dannosi, ad esempio a causa di attacchi alla supply chain.