L’emergere di varianti di malware sui dispositivi mobili continua a rappresentare una seria minaccia per la sicurezza degli utenti. Recentemente, è stata identificata una nuova versione del temuto spyware ‘Mandrake’ in cinque applicazioni disponibili su Google Play, il noto store ufficiale di applicazioni di Google. Secondo un report di Kaspersky, queste applicazioni sono state scaricate oltre 32.000 volte, sollevando preoccupazioni significative per tutti coloro che utilizzano Android come sistema operativo.
La storia dello spyware Mandrake
La cronologia di Mandrake
La prima segnalazione di Mandrake risale al 2020, quando la società di cybersecurity Bitdefender ha documentato per la prima volta questo spyware evoluto. Sin dalla sua comparsa, gli esperti hanno evidenziato le capacità avanzate di spionaggio di questo malware, accennando al fatto che era attivo in natura già dal 2016. Questo spyware ha dimostrato di utilizzare tecniche sofisticate per evitare il rilevamento, rendendo estremamente difficile la sua identificazione e rimozione dai dispositivi infetti.
L’ultima variante e il suo arrivo su Google Play
Nel 2022, i ricercatori di Kaspersky hanno rintracciato una nuova variante di Mandrake. Questa versione aggiornata si distingue per una migliore obfuscazione e per la capacità di eludere le misure di sicurezza di Google Play. Nonostante la pubblicazione di queste app sullo store ufficiale, l’applicazione AirFS si è rivelata la più popolare, raggiungendo oltre 30.000 download prima di essere rimossa alla fine di marzo 2024. Le altre quattro app che hanno presentato Mandrake includevano giochi e strumenti di file sharing, aumentando così il rischio di esposizione per un numero significativo di utenti.
Identificazione delle app compromesse
App contaminate e download
Kaspersky ha individuato cinque app particolarmente scottanti. Di seguito, una panoramica di queste applicazioni e dei loro download:
- AirFS: File sharing via Wi-Fi, sviluppata da it9042, con 30.305 download tra il 28 aprile 2022 e il 15 marzo 2024.
- Astro Explorer: Sviluppata da shevabad, ha registrato 718 download da maggio 2022 a giugno 2023.
- Amber: Un’altra app creata da kodaslda, ha visto solo 19 download dal 27 febbraio 2022 all’19 agosto 2023.
- CryptoPulsing: Anch’essa di shevabad, con 790 download dal 2 novembre 2022 al 6 giugno 2023.
- Brain Matrix: App sviluppata da kodaslda, conta 259 download tra il 27 aprile 2022 e il 6 giugno 2023.
La maggior parte dei download proveniva da utenti localizzati in paesi come Canada, Germania, Italia, Messico, Spagna, Perù e Regno Unito, segnalando una diffusione preoccupante del malware a livello globale.
Meccanismi di evasione del malware
Tecniche di occultamento del malware
Il malware Mandrake adotta strategie molto sofisticate per eludere la rilevazione. A differenza di altri malware Android, che nascondono logiche malevole nel file DEX dell’app, Mandrake nasconde la sua fase iniziale in una libreria nativa chiamata ‘libopencv_dnn.so’. Questa libreria è stata altamente offuscata utilizzando una tecnologia nota come OLVM, rendendo difficile per i programmi di sicurezza identificare il pericolo.
Una volta installata l’applicazione malevola, la libreria esporta funzioni che decrittano il secondo caricatore DEX dal proprio pacchetto risorse e lo caricano in memoria. A questo punto, il secondo stadio richiede permessi per disegnare overlay sullo schermo e carica un’altra libreria nativa, ‘libopencv_java3.so’, incaricata di decifrare un certificato per comunicazioni sicure con il server di comando e controllo .
Funzionalità di spionaggio e rischi associati
Dopo aver stabilito una comunicazione con il server C2, l’applicazione invia un profilo del dispositivo e, se ritenuta idonea, riceve il componente principale di Mandrake. Questo componente attivato consente al malware di raccogliere dati, registrare lo schermo, eseguire comandi, simulare tocchi dell’utente, gestire file e installare altre app. Insidiosamente, gli attaccanti possono persuadere gli utenti a installare ulteriori APK dannosi, presentando notifiche simili a quelle di Google Play, il che inganna gli utenti facendogli credere di essere in un processo sicuro.
Kaspersky ha evidenziato come Mandrake utilizzi anche un metodo di installazione basato su sessione per aggirare le restrizioni imposte nelle versioni più recenti di Android sull’installazione di APK da fonti non ufficiali. I suoi meccanismi operativi includono la richiesta di permessi per operare in background e la capacità di nascondere l’icona dell’app di caricamento sulla schermata del dispositivo, rendendolo particolarmente subdolo.
Raccomandazioni per la sicurezza degli utenti Android
In considerazione della minaccia persistente rappresentata da Mandrake, gli esperti di sicurezza consigliano agli utenti Android di seguire alcune linee guida per difendere i propri dispositivi. È fondamentale installare solo app da editori riconosciuti e verificati, prestare attenzione ai commenti degli utenti prima del download e smettere di concedere permessi rischiosi che sembrano non correlati alla funzionalità di un’app. Inoltre, è consigliabile tenere attivo Google Play Protect.
Con la continua evoluzione di minacce come Mandrake, mantenere una vigilanza costante diventa essenziale per garantire la sicurezza dei dati personali e la protezione delle informazioni sensibili degli utenti.