Mandrake é uma ameaça cibernética recorrente no ecossistema móvel Android. Os pesquisadores descobriram aplicativos infectados pelo Mandrake há alguns anos, e agora o malware aparentemente voltou, empregando técnicas mais sofisticadas para escapar das mais recentes proteções de segurança.
A família de malware Mandrake foi descoberta pela primeira vez pela Bitdefender em 2020. A empresa romena de segurança cibernética detectou a ameaça durante duas grandes ondas de infecção, a primeira em aplicativos falsos disponíveis para download no Google Play em 2016-2017, e a segunda em 2018-2020. A característica mais notável do Mandrake é sua capacidade de escapar do radar do Google e infectar um grande número de usuários, estimando-se que tenham infectado “centenas de milhares” de usuários ao longo de quatro anos.
As primeiras ondas de infecções por Mandrake empregaram vários truques para esconder sua presença. O malware foi projetado para entregar sua carga maliciosa final a vítimas específicas e altamente direcionadas, e ainda contém um interruptor mortal “seppuku” capaz de apagar todos os vestígios de infecção no dispositivo.
Aplicativos falsos que escondem o malware Mandrake são “iscas” totalmente funcionais em categorias que incluem finanças, automotivo, players de vídeo e outros tipos de aplicativos populares. Os cibercriminosos, possivelmente desenvolvedores terceirizados recrutados para a tarefa, corrigiram rapidamente as vulnerabilidades relatadas pelos usuários na seção de comentários da PlayStore. Além disso, os certificados TLS são usados para ocultar as comunicações entre o malware e os servidores de comando e controle (C&C).
A família de malware Mandrake parece ter desaparecido do ecossistema Android após fazer as primeiras vítimas. Agora, a Kaspersky descobriu uma nova onda de aplicativos infectados que são mais difíceis de detectar e analisar do que antes. Este malware de “nova geração” usa múltiplas camadas de ofuscação de código para evitar análises e contornar os algoritmos de verificação do Google, além de tomar contramedidas especiais contra técnicas de análise baseadas em sandbox.
A Kaspersky observou que os autores do Mandrake possuem habilidades avançadas de codificação, o que torna a detecção e a pesquisa do malware mais desafiadoras. De acordo com a empresa de segurança russa, o aplicativo mais recente contendo Mandrake foi atualizado em 15 de março e removido da app store no final daquele mês. Nem o Google nem empresas terceirizadas podem rotular esses novos aplicativos como malware.
Apesar desta última onda de aplicativos chamariz, o objetivo principal do Mandrake parece permanecer inalterado. O malware foi projetado para roubar credenciais dos usuários, gravando o conteúdo na tela do telefone e enviando essas gravações para um servidor C&C. Ele também pode baixar e executar outras cargas maliciosas.
A Kaspersky não forneceu mais informações ou especulações sobre o autor do Mandrake ou seus motivos. A Kaspersky descobriu cinco aplicativos contendo malware que o Google acabou removendo da Play Store.
Baixe o artigo técnico