Uma nova versão do spyware para Android, 'Mandrake', foi encontrada em cinco aplicativos baixados 32.000 vezes na Google Play, a loja oficial de apps da plataforma.
A Bitdefender documentou pela primeira vez o Mandrake em 2020, com os pesquisadores destacando as sofisticadas capacidades de espionagem do malware e observando que ele tem operado na natureza desde pelo menos 2016.
A Kaspersky agora relata que uma nova variante do Mandrake, que apresenta melhor ofuscação e evasão, infiltrou-se na Google Play por meio de cinco apps submetidos à loja em 2022.
Esses aplicativos permaneceram disponíveis por pelo menos um ano, enquanto o último, AirFS, que foi o mais bem-sucedido em termos de popularidade e infecções, foi removido no final de março de 2024.
A Kaspersky identificou os cinco apps portadores do Mandrake da seguinte forma:
- AirFS – Compartilhamento de arquivos via Wi-Fi por it9042 (30.305 downloads entre 28 de abril de 2022 e 15 de março de 2024)
- Astro Explorer por shevabad (718 downloads de 30 de maio de 2022 a 6 de junho de 2023)
- Amber por kodaslda (19 downloads entre 27 de fevereiro de 2022 e 19 de agosto de 2023)
- CryptoPulsing por shevabad (790 downloads de 2 de novembro de 2022 a 6 de junho de 2023)
- Brain Matrix por kodaslda (259 downloads entre 27 de abril de 2022 e 6 de junho de 2023)
A firma de cibersegurança diz que a maioria dos downloads ocorre no Canadá, Alemanha, Itália, México, Espanha, Peru e Reino Unido.
Ao contrário do típico malware para Android, que coloca a lógica maliciosa no arquivo DEX do app, o Mandrake esconde seu estágio inicial em uma biblioteca nativa, 'libopencv_dnn.so', que é fortemente ofuscada usando OLLVM.
Após a instalação do app malicioso, a biblioteca exporta funções para descriptografar o carregador da segunda etapa DEX de sua pasta de assets e carregá-lo na memória.
A segunda etapa solicita permissões para desenhar sobreposições e carrega uma segunda biblioteca nativa, 'libopencv_java3.so', que descriptografa um certificado para comunicações seguras com o servidor de comando e controle (C2).
Depois de estabelecer a comunicação com o C2, o aplicativo envia um perfil do dispositivo e recebe o componente central do Mandrake (terceira etapa) se considerado adequado.
Uma vez que o componente central é ativado, o spyware Mandrake pode realizar uma ampla gama de atividades maliciosas, incluindo coleta de dados, gravação e monitoramento de tela, execução de comandos, simulação de swipes e toques do usuário, gerenciamento de arquivos, e instalação de app.
Notavelmente, os atores de ameaças podem induzir os usuários a instalar APKs maliciosos adicionais, exibindo notificações que imitam a Google Play, na esperança de enganar os usuários para instalarem arquivos inseguros por meio de um processo aparentemente confiável.
A Kaspersky afirma que o malware também utiliza o método de instalação baseado em sessão para contornar as restrições do Android 13 (e posteriores) sobre a instalação de APKs de fontes não oficiais.
Como outros malwares para Android, o Mandrake pode solicitar ao usuário que conceda permissão para executar em segundo plano e ocultar o ícone do app distribuidor no dispositivo da vítima, operando de forma furtiva.
A versão mais recente do malware apresenta também melhor evasão, verificando especificamente a presença do Frida, um toolkit de instrumentação dinâmica popular entre analistas de segurança.
Ele também verifica o status de root do dispositivo, procura por binários específicos associados a ele, verifica se a partição do sistema está montada como somente leitura, e checa se as configurações de desenvolvedor e ADB estão ativadas no dispositivo.
A ameaça Mandrake continua ativa, e embora os cinco apps identificados como distribuidores pelo Kaspersky não estejam mais disponíveis na Google Play, o malware poderia retornar por meio de novos apps mais difíceis de detectar.
Usuários de Android são recomendados a instalar aplicativos apenas de publicadores reputáveis, verificar comentários de usuários antes de instalar, evitar conceder pedidos de permissões arriscadas que parecem não relacionadas à função de um aplicativo e garantir que o Play Protect esteja sempre ativo.
O Google compartilhou a seguinte declaração sobre os aplicativos maliciosos encontrados na Google Play:
"O Google Play Protect está continuamente melhorando a cada app identificado. Estamos sempre aprimorando suas capacidades, incluindo a detecção de ameaças em tempo real que será lançada para combater técnicas de ofuscação e anti-evasão", disse o Google.
Usuários de Android são automaticamente protegidos contra versões conhecidas deste malware pelo Google Play Protect, que está ativado por padrão em dispositivos Android com o Google Play Services.
O Google Play Protect pode alertar usuários ou bloquear apps conhecidos por exibirem comportamento malicioso, mesmo quando esses apps vêm de fontes externas à Play.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...