Sommario
La sicurezza degli utenti Android è nuovamente minacciata dal ritorno del noto spyware Mandrake su Google Play. Dopo un periodo di assenza, le applicazioni infette hanno fatto il loro ritorno, sfruttando tecniche avanzate di offuscamento e evasione per passare inosservate. Scopriamo insieme i dettagli di questa minaccia e come proteggersi.
Il ritorno di Mandrake su Google Play
Mandrake, una piattaforma di cyber-spionaggio sofisticata, è stata originariamente analizzata da Bitdefender nel 2020. Dopo una pausa di due anni, nuove versioni dello spyware sono state scoperte su Google Play da aprile 2024.
Cinque applicazioni infette sono state individuate, con oltre 32.000 installazioni complessive. Queste app utilizzano tecniche avanzate di offuscamento, spostando la funzionalità malevola su librerie native offuscate con OLLVM e utilizzando il pinning dei certificati per le comunicazioni con i server di comando e controllo (C2).
Dettagli Tecnici delle Applicazioni Mandrake
Le applicazioni infette, come AirFS, Astro Explorer e Amber, sono state distribuite tra il 2022 e il 2024, riuscendo a rimanere attive su Google Play per anni senza essere rilevate. Le app utilizzano una libreria nativa per nascondere la logica malevola iniziale e cifrano le comunicazioni con i server C2, rendendo difficile l’analisi e il rilevamento.
Applicazioni infette
| Nome Pacchetto | Nome App | Sviluppatore | Data di Rilascio | Ultimo Aggiornamento | Download |
|---|---|---|---|---|---|
| com.airft.ftrnsfr | AirFS | it9042 | Apr 28, 2022 | Mar 15, 2024 | 30,305 |
| com.astro.dscvr | Astro Explorer | shevabad | May 30, 2022 | Jun 06, 2023 | 718 |
| com.shrp.sght | Amber | kodaslda | Feb 27, 2022 | Aug 19, 2023 | 19 |
| com.cryptopulsing.browser | CryptoPulsing | shevabad | Nov 02, 2022 | Jun 06, 2023 | 790 |
| com.brnmth.mtrx | Brain Matrix | kodaslda | Apr 27, 2022 | Jun 06, 2023 | 259 |
Le applicazioni seguono una catena di infezione in tre fasi: dropper, loader e core. Il dropper decripta e carica il loader, che a sua volta scarica e esegue il core, contenente la funzionalità principale del malware. Mandrake utilizza tecniche avanzate di evasione, come la rilevazione di Frida, il controllo delle impostazioni di sviluppo e la verifica della presenza di strumenti di analisi, per evitare di essere scoperto in ambienti controllati.
Come proteggersi
Gli utenti sono invitati da Eset a prestare attenzione alle applicazioni che scaricano, controllando recensioni e permessi richiesti dalle app. È importante mantenere aggiornato il sistema operativo e utilizzare software di sicurezza affidabili per proteggersi da minacce come Mandrake.
Il ritorno dello spyware Mandrake su Google Play evidenzia l’evoluzione delle minacce informatiche e la necessità di misure di sicurezza più rigorose. La capacità degli attori di minaccia di eludere i controlli di sicurezza e di rimanere attivi per anni mette in luce le sfide continue nella protezione degli utenti. Rimanere informati e adottare pratiche di sicurezza proattive è essenziale per proteggersi da queste minacce sofisticate.
