Una famiglia di malware per Android, nota per la sua capacità di nascondere le sue attività di spionaggio, è stata nuovamente individuata su Google Play dopo oltre due anni di apparente inattività.
Le app, mascherate da strumenti di condivisione file, astronomia e criptovalute, contenevano Mandrake, un tipo di malware altamente invasivo che la società di sicurezza Bitdefender aveva identificato nel 2020.
Queste app sono apparse in due periodi: il primo tra il 2016 e il 2017 e il secondo tra il 2018 e il 2020. E Mandrake riusciva a passare inosservato grazie a strategie sofisticate che raramente si vedono nei malware Android.
Ad esempio, non funzionava in 90 paesi, inclusi quelli dell’ex Unione Sovietica; attivava le funzioni dannose solo per un ristretto numero di vittime attentamente selezionate. E ancora: conteneva un meccanismo di autodistruzione (suggestivamente denominato ‘seppuku’) che cancellava completamente tutte le tracce del malware; utilizzava app di copertura che sembravano completamente funzionali in varie categorie come finanza, video, arte e produttività. Infine, risolveva rapidamente i problemi segnalati dagli utenti nei commenti e nascondeva le comunicazioni coi propri server tramite tecniche avanzate.
Secondo Bitdefender, il malware ha infettato decine di migliaia di utenti tra il 2018 e il 2020, probabilmente arrivando a centinaia di migliaia durante l’intero periodo di quattro anni. Dopo il rapporto di Bitdefender del 2020, le app infette sembravano sparite da Google Play. Tuttavia, la società di sicurezza Kaspersky ha recentemente scoperto che le app infette sono riapparse nel 2022 e sono rimaste inosservate fino ad ora.
Oltre a nuove app di copertura, gli operatori di Mandrake hanno introdotto diverse misure per nascondere meglio il loro comportamento malevolo ed evitare l’analisi da parte dei ricercatori. “I malware Mandrake stanno evolvendo, migliorando i metodi di occultamento e superando le nuove difese”, hanno scritto i ricercatori di Kaspersky. “La campagna attuale è rimasta nascosta per due anni, pur essendo disponibile su Google Play. Questo dimostra l’abilità degli hacker e la difficoltà di rilevare minacce sofisticate”.
L’ultima versione di Mandrake utilizza molteplici livelli di offuscamento per impedire l’analisi e superare il processo di verifica di Google Play. E le cinque app scoperte da Kaspersky sono apparse su Play nel 2022 e sono rimaste disponibili per almeno un anno. La più recente è stata aggiornata a marzo e rimossa poco dopo. Fino a poco tempo fa, nessuna delle app era stata rilevata come dannosa dai principali fornitori di antivirus.
Una delle tecniche utilizzate da Mandrake è spostare le funzioni dannose in parti del software più difficili da analizzare. Ciò rende il malware più difficile da individuare e rimuovere. Lo scopo principale di Mandrake è rubare le credenziali degli utenti e installare altre applicazioni dannose. Queste azioni vengono eseguite solo su un numero ristretto di obiettivi selezionati. Il metodo principale è registrare lo schermo mentre una vittima inserisce un codice di accesso, inviando poi i dati raccolti ai server dei criminali.
Né Kaspersky né Bitdefender hanno identificato chi sia dietro Mandrake o quali siano i motivi esatti della diffusione di questo sofisticato malware. Le app infette sono state rimosse da Google Play, ma il rischio di minacce simili rimane.
