I ricercatori di Kaspersky hanno individuato una nuova versione di Mandrake, uno spyware per Android che circola da almeno 8 anni. Il malware aggiornato è stato scoperto in 5 app rimaste sul Google Play Store fino a marzo 2024 e scaricate migliaia di volte da utenti in Italia, Canada, Germania, Messico, Regno Unito, Spagna e Perù.
Mandrake: analisi dello spyware
Le prime apparizioni di Mandrake risalgono agli anni 2016-17 e 2018-20. Gli esperti di Kaspersky ha individuato la nuova versione ad aprile 2024 nelle app AirFS, Astro Explorer, Amber, CryptoPulsing e Brain Matrix pubblicate sul Play Store nel 2022. AirFS era quella più scaricata con oltre 30.000 download. Tutte le app sono state rimosse da Google.
AirFS è stata pubblicizzata come app per la condivisione dei file tramite rete WiFi. In realtà, come hanno scritto molti utenti nelle recensioni, l’app non funziona e serve solo per rubare i dati tramite Mandrake. La catena di infezione prevede tre componenti: dropper, loader e payload finale. Il dropper è nascosto in una libreria nativa, pesantemente offuscata, che decifra e carica il loader in memoria.
Il loader invia le informazioni sul dispositivo al server C2 (command and control), tra cui app installate e indirizzo IP. Se il dispositivo viene considerato interessante, il loader scarica ed esegue il payload finale. Mandrake esegue quindi le classiche attività di spyware, come cattura di screenshot, registrazione dello schermo, esecuzione di comandi, simulazione di swipe e tap, accesso al file system, furto di password e cookie.
La nuova versione sfrutta diversi trucchi per aggirare il tool di analisi dei ricercatori di sicurezza e le protezioni delle versioni recenti di Android. Google ha dichiarato che questi malware vengono rilevati e bloccati dalla funzionalità Play Protect, anche se nascosti in app scaricate da store alternativi (sideloading).