Allarme: spyware Mandrake infetta 32.000 dispositivi Android in Italia

Un recente rapporto di Kaspersky ha rivelato una nuova variante del malware Android, conosciuto come Mandrake, rilevata in cinque applicazioni scaricate ben 32.000 volte dal Google Play Store. Questa variante presenta metodi di offuscamento e evasione avanzati, veicolati attraverso applicazioni pubblicate nel 2022 e rimaste disponibili per un anno fino a marzo 2024. Lo spyware Mandrake, scoperto per la prima volta da Bitdefender nel 2020, si sospetta sia operativo dal 2016. Si tratta di un malware pericoloso, con capacità di spionaggio sofisticate che gli permettono di nascondersi all’interno dei dispositivi infetti.

Le cinque app identificate da Kaspersky come veicoli del malware includono:
– AirFS – Condivisione file via Wi-Fi di it9042 (30.305 download tra il 28 aprile 2022 e il 15 marzo 2024)
– Astro Explorer di shevabad (718 download dal 30 maggio 2022 al 6 giugno 2023)
– Amber di kodaslda (19 download dal 27 febbraio 2022 al 19 agosto 2023)
– CryptoPulsing di shevabad (790 download dal 2 novembre 2022 al 6 giugno 2023)
– Brain Matrix di kodaslda (259 download dal 27 aprile 2022 al 6 giugno 2023)

La maggior parte delle infezioni è stata registrata in Italia, Canada, Germania, Messico, Spagna, Perù e Regno Unito. Il malware utilizza una libreria nativa, libopencv_dnn., offuscata attraverso OLLVM, per iniziare il processo di infezione. Dopo l’installazione dell’app malevola, la libreria carica una seconda fase sul dispositivo, richiede permessi per sovrapporsi ad altre app e procede con il caricamento di un’altra libreria nativa. Questa seconda libreria, libopencv_java3., decrittografa un certificato per comunicazioni sicure con il server di comando e controllo. Stabilita la comunicazione, l’applicazione invia un profilo del dispositivo e riceve l’attivazione del componente principale del malware Mandrake.

Le operazioni malevole di Mandrake

Mandrake è in grado di raccogliere dati, registrare lo schermo, eseguire comandi, simulare interazioni, gestire file e installare altre applicazioni maligne. Utilizza tecniche avanzate per bypassare le restrizioni delle nuove versioni di Android, come la proibizione di installare APK da fonti non ufficiali, e per evitare la rilevazione. Monitora anche se strumenti di analisi come Frida sono attivi sul dispositivo.

Google ha rilasciato una dichiarazione sui suoi sforzi per combattere queste minacce: “Google Play Protect migliora con ogni app identificata, potenziando le sue capacità e l’imminente rilevamento delle minacce in tempo reale per combattere l’offuscamento e le tecniche anti-evasione”. Google ha aggiunto che “gli utenti Android sono automaticamente protetti contro le versioni note di questo malware da Google Play Protect, attivo sui dispositivi Android con Google Play Services. Google Play Protect avverte gli utenti e blocca le applicazioni note per comportamento dannoso, anche da fonti esterne a Play”.

La storia e l’evoluzione di Mandrake

Mandrake è uno spyware per Android che circola da otto anni. Le sue prime apparizioni risalgono agli anni 2016-17 e 2018-20. Gli esperti di Kaspersky hanno individuato una nuova versione ad aprile 2024 nelle app AirFS, Astro Explorer, Amber, CryptoPulsing e Brain Matrix, pubblicate sul Play Store nel 2022. AirFS è stata la più scaricata con oltre 30.000 download. Le app sono state rimosse da Google, ma per anni lo spyware Mandrake si è mosso indisturbato, spiando e rubando dati alle ignare vittime.

La catena di infezione prevede tre componenti: il dropper, il loader e il payload finale. Il dropper è nascosto in una libreria nativa, offuscata, che decifra e carica il loader in memoria. Il loader invia informazioni sul dispositivo al server di comando e controllo (C2), come le app installate e l’IP. Se il dispositivo è considerato interessante, il loader scarica ed esegue il payload finale. Mandrake esegue le classiche attività di uno spyware: cattura di screenshot, registrazione dello schermo, esecuzione di comandi, simulazione di swipe e tap, accesso al file system, furto di password e cookie. La nuova versione sfrutta tecniche avanzate per aggirare i tool di analisi dei ricercatori di sicurezza e le protezioni delle versioni recenti di Android.

Bullet Executive Summary

In conclusione, la recente scoperta di una nuova variante dello spyware Mandrake mette in luce l’importanza di mantenere sempre aggiornati i propri dispositivi e di fare attenzione alle applicazioni che si scaricano. Questo malware, attivo da anni, ha dimostrato una capacità impressionante di evolversi e adattarsi per sfuggire ai controlli di sicurezza. È fondamentale disinstallare immediatamente le app incriminate e fare affidamento su strumenti di protezione come Google Play Protect.

Una nozione base di tecnologia correlata al tema principale dell’articolo è la sicurezza informatica, che si occupa di proteggere i sistemi informatici da attacchi, danni o accessi non autorizzati. Una nozione avanzata applicabile al tema è l’uso di tecniche di offuscamento, che rendono il codice del malware difficile da analizzare e rilevare, aumentando così la sua efficacia e longevità.

Riflettendo su questa vicenda, è chiaro quanto sia cruciale rimanere vigili e informati sulle minacce informatiche. La tecnologia avanza rapidamente, e con essa anche le tecniche utilizzate dai malintenzionati. Proteggere i propri dati e dispositivi è una responsabilità che non può essere sottovalutata.