• Admin info
  • Admin or Moderater content only

Mandrake, il malware non è scomparso: rimasto nascosto per due anni su Google Play

Rispondi
Avatar utente
openresource
Administrator
Administrator
Messaggi: 367
Iscritto il: mar gen 28, 2020 9:52 pm
Reactions score: 4
Località: varese
Contatta:
ago 2024 13 09:10

Mandrake, il malware non è scomparso: rimasto nascosto per due anni su Google Play

Messaggio da openresource

Mandrake è il nome di una sofisticata famiglia di malware per Android che è tornata a fare la sua comparsa su Google Play dopo un periodo di apparente inattività di oltre due anni. Sono i ricercatori di Kaspersky ad aver individuato la recente attività della famiglia di malware, che è stata oggetto di una particolare evoluzione allo scopo di eludere i sistemi di rilevamento e poter continuare ad operare dietro le quinte.

Nel 2016 il malware fu identificato per la prima volta dalla società di sicurezza Bitdefender, che aveva allora identificato alcune tecniche particolarmente sofisticate. La prima versione di Mandrake sembrava operare in maniera particolarmente selettiva, disponendo di un elenco di esclusione di 90 Paesi e con una distribuzione del payload solamente a vittime selezionate in maniera molto mirata. In Mandrake era stata inoltre riscontrata una funzionalità kill switch, chiamata "seppuku", per cancellarne ogni traccia.

I ricercatori di Bitdefender avevano al tempo riscontrato anche una particolare reattività del team dietro Mandrake nella correzione dei bug segnalati dagli utilizzatori. Mandrake veniva inoltre distribuito tramite app-esca di varie tipologie pienamente funzionanti per non destare sospetti, e infine faceva uso di tecniche di offuscamento per nascondere le comunicazioni con i server di comando e controllo.

L'attività di Mandrake era stata osservata in due ondate, nel periodo 2016-2017 e nel periodo 2018-2020: secondo le analisi effettuate, le vittime per questa seconda ondata è di qualche decina di migliaia, mentre per l'intero periodo di attività è possibile che si tratti di centinaia di migliaia.Dopo il 2020 Mandrake sembrava essere scomparso da Google Play. Le recenti analisi di Kaper. hanno però riscontrato che il malware ha fatto nuovamente la sua comparsa nel 2022, passando inosservato fino ad oggi. Questa nuova versione di Mandrake mostra una serie di miglioramenti significativi, in particolare con l'aggiunta di tecniche per evitare le analisi sandbox e di meccanismi per aggirare le protezioni anti-malware più recenti.

I ricercatori sottolineano inoltre come Mandrake si stia evolvendo in maniera dinamica, sempre con l'obiettivo di affinare ed ottimizzare i metodi di occultamento ed elusione. Testimonianza di ciò è il fatto che le nuove app utilizzate per la diffusione del malware nell'attuale campagna sono rimaste nascoste per due anni, pur essendo disponibili su Google Play.

Uno dei tratti maggiormente distintivi dell'ultima versione di Mandrake è l'uso di più livelli di offuscamento insieme, pensati per aggirare il processo di verifica di Google Play. Kaspersky ha scoperto cinque app apparte nel 2022 sul Play Store, rimaste disponibili per almeno un anno. All'inizio di questo mese nessuna di queste app è mai stata rilevata come dannosa dai principali strumenti antivirus.

L'obiettivo principale di Mandrake è il furto di credenziali di account, e il successivo scaricamento ed esecuzione di applicazioni dannose. Si tratta però di operazioni che vengono eseguite in fasi successive della compromissione di un dispositivo, quando il malware ha stabilito una presenza persistente nel sistema. Una delle azioni principali è la registrazione dello schermo mentre la vittima inserisce un codice di accesso, funzione che viene attivata da remoto tramite comandi specifici inviati dal server di controllo.

Kaspersky e nemmeno Bitdefender sono stati in grado di fornire informazioni che potessero identificare la mano dietro Mandrake, o sulle motivazioni che stanno dietro alla strategia di diffusione di uno spyware così tanto sofisticato. Le app sono state rimosse dal Google Play dopo le segnalazioni di Kaspersky.
Immagine
Rispondi