Uma nova iteração de um sofisticado spyware para Android chamado Mandrake foi descoberta em cinco aplicativos que estavam disponíveis para download na Google Play Store e permaneceram não detectados por dois anos.
Os aplicativos atraíram um total de mais de 32.000 instalações antes de serem retirados da loja de aplicativos, segundo a Kaspersky em um relato na segunda-feira.
A maioria dos downloads veio do Canadá, Alemanha, Itália, México, Espanha, Peru e Reino Unido.
"As novas amostras incluíam novas camadas de ofuscação e técnicas de evasão, como a movimentação da funcionalidade maliciosa para bibliotecas nativas ofuscadas, utilizando certificate pinning para comunicações C2 e realizando uma ampla variedade de testes para verificar se o Mandrake estava sendo executado em um dispositivo com root ou em um ambiente emulado", disseram os pesquisadores Tatyana Shishkova e Igor Golovin.
O Mandrake foi documentado pela primeira vez pela empresa romena de cibersegurança Bitdefender em maio de 2020, descrevendo sua abordagem deliberada de infectar um número limitado de dispositivos enquanto conseguia se esconder nas sombras desde 2016.
O malware ainda não foi atribuído a um ator ou grupo de ameaça específico.
As variantes atualizadas são caracterizadas pelo uso de OLLVM para esconder a funcionalidade principal, enquanto também incorporam uma série de técnicas de evasão de sandbox e antianálise para impedir que o código seja executado em ambientes operados por analistas de malware.
A lista de apps contendo o Mandrake está abaixo:
- AirFS (com.airft.ftrnsfr)
- Amber (com.shrp.sght)
- Astro Explorer (com.astro.dscvr)
- Brain Matrix (com.brnmth.mtrx)
- CryptoPulsing (com.cryptopulsing.browser)
Os aplicativos contêm três estágios: Um dropper que inicia um loader responsável por executar o componente central do malware após baixá-lo e descriptografá-lo de um servidor de comando e controle (C2).
O payload do segundo estágio também é capaz de coletar informações sobre o status de conectividade do dispositivo, aplicativos instalados, porcentagem de bateria, endereço IP externo e a versão atual do Google Play.
Além disso, pode apagar o módulo central e solicitar permissões para desenhar sobreposições e rodar em segundo plano.
O terceiro estágio suporta comandos adicionais para carregar uma URL específica em um WebView e iniciar uma sessão de compartilhamento de tela remoto, além de gravar a tela do dispositivo com o objetivo de roubar credenciais das vítimas e injetar mais malware.
"O Android 13 introduziu o recurso 'Configurações Restritas', que proíbe aplicações baixadas de lado de solicitar diretamente permissões perigosas", disseram os pesquisadores.
Para contornar esse recurso, o Mandrake processa a instalação com um instalador de pacotes 'baseado em sessão'. A empresa de segurança russa descreveu o Mandrake como um exemplo de uma ameaça que está evoluindo dinamicamente, refinando constantemente seu artesanato para contornar mecanismos de defesa e evadir detecção.
"Isso destaca as habilidades formidáveis dos atores de ameaças, e também que controles mais rigorosos para aplicativos antes de serem publicados nos mercados apenas se traduzem em ameaças mais sofisticadas e difíceis de detectar se infiltrando em mercados oficiais de aplicativos", afirmou.
Quando contatado para comentar, o Google disse que está continuamente reforçando as defesas do Google Play Protect à medida que novos aplicativos maliciosos são sinalizados e que está aprimorando suas capacidades para incluir detecção de ameaças ao vivo para enfrentar ofuscação e técnicas de anti-evasão.
"Usuários do Android são automaticamente protegidos contra versões conhecidas deste malware pelo Google Play Protect, que está ativado por padrão em dispositivos Android com Google Play Services", disse um porta-voz do Google.
O Google Play Protect pode alertar usuários ou bloquear aplicativos conhecidos por exibir comportamento malicioso, mesmo quando esses aplicativos vêm de fontes fora do Play.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...