Descoberta uma nova variante do Spyware Mandrake para Android

Segundo a Kaspersky, foi descoberta uma nova variante do Spyware Mandrake para Android no Google Play, por meio de cinco aplicativos.

O Bitdefender documentou o Mandrake pela primeira vez em 2020, com os pesquisadores destacando os recursos sofisticados de espionagem do malware e observando que ele opera desde pelo menos 2016.

Agora, uma nova versão do spyware para Android ‘Mandrake’ foi encontrada em cinco aplicativos baixados 32.000 vezes do Google Play, a loja de aplicativos oficial da plataforma.

Descoberta uma nova variante do Spyware Mandrake para Android

A Kaspersky agora relata que uma nova variante do Mandrake que apresenta melhor ofuscação e evasão chegou ao Google Play por meio de cinco aplicativos enviados à loja em 2022.

Esses aplicativos permaneceram disponíveis por pelo menos um ano, enquanto o último, AirFS, que foi o mais bem-sucedido em termos de popularidade e infecções, foi removido no final de março de 2024.

A Kaspersky identificou os cinco aplicativos portadores do Mandrake da seguinte forma:

• AirFS – Compartilhamento de arquivos via Wi-Fi por it9042 (30.305 downloads entre 28 de abril de 2022 e 15 de março de 2024)
• Astro Explorer por shevabad (718 downloads de 30 de maio de 2022 a 6 de junho de 2023)
• Amber por kodaslda (19 downloads entre 27 de fevereiro de 2022 e 19 de agosto de 2023)
• CryptoPulsing por shevabad (790 downloads de 2 de novembro de 2022 a 6 de junho de 2023)
• Brain Matrix por kodaslda (259 downloads entre 27 de abril de 2022 e 6 de junho de 2023)

A empresa de segurança cibernética diz que a maioria dos downloads vem do Canadá, Alemanha, Itália, México, Espanha, Peru e Reino Unido.

Ao contrário do malware Android típico, que coloca lógica maliciosa no arquivo DEX do aplicativo, o Mandrake oculta seu estágio inicial em uma biblioteca nativa, ‘libopencv_dnn.so’, que é muito ofuscante usando OLLVM.

Após a instalação do aplicativo malicioso, a biblioteca exporta funções para descriptografar o carregador DEX de segundo estágio de sua pasta de ativos e carregá-lo na memória.

O segundo estágio solicita permissões para desenhar sobreposições e carrega uma segunda biblioteca nativa, ‘libopencv_java3.so’, que descriptografa um certificado para comunicações seguras com o servidor de comando e controle (C2).

Após estabelecer a comunicação com o C2, o aplicativo envia um perfil de dispositivo e recebe o componente principal do Mandrake (terceiro estágio), se considerado adequado.

Uma vez que o componente principal é ativado, o spyware Mandrake pode executar uma ampla gama de atividades maliciosas, incluindo coleta de dados, gravação e monitoramento de tela, execução de comandos, simulação de toques e deslizamentos do usuário, gerenciamento de arquivos e instalação de aplicativos.

Notavelmente, os agentes da ameaça podem solicitar que os usuários instalem mais APKs maliciosos exibindo notificações que imitam o Google Play, na esperança de induzi-los a instalar arquivos inseguros por meio de um processo aparentemente confiável.

A Kaspersky diz que o malware também usa o método de instalação baseado em sessão para contornar as restrições do Android 13 (e posteriores) na instalação de APKs de fontes não oficiais.

Como outros malwares do Android, o Mandrake pode pedir ao usuário para conceder permissão para executar em segundo plano e ocultar o ícone do aplicativo dropper no dispositivo da vítima, operando furtivamente.

A versão mais recente do malware também apresenta evasão de bateria, agora verificando especificamente a presença do Frida, um kit de ferramentas de instrumentação dinâmica popular entre analistas de segurança.

Ele também verifica o status raiz do dispositivo, procura por binários específicos associados a ele, verifica se a partição do sistema está montada como somente leitura e verifica se as configurações de desenvolvimento e ADB estão habilitadas no dispositivo.

A ameaça Mandrake continua ativa e, embora os cinco aplicativos identificados como droppers pela Kaspersky não estejam mais disponíveis no Google Play, o malware pode retornar por meio de novos aplicativos mais difíceis de detectar.

Recomenda-se que os usuários do Android instalem apenas aplicativos de editores confiáveis, verifiquem os comentários dos usuários antes de instalar, evitem conceder solicitações de permissões arriscadas que pareçam não relacionadas à função de um aplicativo e certifiquem-se de que o Play Protect esteja sempre ativo.

O Google compartilhou a seguinte declaração sobre os aplicativos maliciosos encontrados no Google Play.

“O Google Play Protect está melhorando continuamente com cada aplicativo identificado. Estamos sempre aprimorando seus recursos, incluindo a próxima detecção de ameaças ao vivo para ajudar a combater técnicas de ofuscação e antievasão”, disse o Google ao BleepingComputer.

“Usuários do Android são automaticamente protegidos contra versões conhecidas desse malware pelo Google Play Protect, que está ativado por padrão em dispositivos Android com o Google Play Services. O Google Play Protect pode avisar usuários ou bloquear aplicativos conhecidos por exibir comportamento malicioso, mesmo quando esses aplicativos vêm de fontes fora do Play.”