I cybercriminali diventano sempre più abili, tanto da riuscire a sfuggire ai più sofisticati controlli di sicurezza di Google Play. È questo il caso dell’ultima campagna spyware scovata da Kaspersky della quale parliamo nell’articolo di seguito.
Scoperto per la prima volta nel 2020, lo spyware Mandrake è una sofisticata piattaforma di spionaggio Android attiva almeno dal 2016. Nell’aprile del 2024, i ricercatori Kaspersky hanno scoperto un campione sospetto, che suggerisce una nuova versione di Mandrake con funzionalità migliorate. Questi nuovi campioni presentano tecniche avanzate di offuscamento ed elusione, tra cui lo spostamento delle funzioni dannose in librerie native oscurate utilizzando OLLVM, l’implementazione del pinning dei certificati per la comunicazione sicura con i server command and control (C2) e l’esecuzione di controlli approfonditi per rilevare se Mandrake sta operando su un dispositivo rooted o in un ambiente simulato.
Mandrake si presenta sotto mentite spoglie
La caratteristica principale della nuova variante di Mandrake è l’integrazione delle tecniche avanzate di offuscamento progettate per aggirare i controlli di sicurezza di Google Play e ostacolare l’analisi. Gli esperti di Kaspersky hanno identificato cinque applicazioni contenenti lo spyware Mandrake, scaricate complessivamente più di 32.000 volte. Queste applicazioni, tutte rilasciate su Google Play nel 2022, erano disponibili per il download da almeno un anno. Sono state presentate come un’app per la condivisione di file via Wi-Fi, un’app per i servizi di astronomia, un gioco Amber for Genshin, un’app per le criptovalute e un’app per i puzzle di logica. Secondo VirusTotal, a luglio 2024 nessuna di queste applicazioni è stata rilevata come malware da alcun fornitore.
Sebbene queste applicazioni dannose non siano più presenti su Google Play, erano disponibili in numerosi Paesi, con la maggior parte dei download in Canada, Germania, Italia, Messico, Spagna, Perù e Regno Unito.
Considerando le somiglianze tra la campagna attuale e quella precedente con i domini C2 registrati in Russia, riteniamo che l’attore della minaccia sia lo stesso indicato nel primo report di rilevamento di Bitdefender.
I consigli di Kaspersky
Per proteggersi da minacce come lo spyware Mandrake, gli esperti di Kaspersky suggeriscono:
- Utilizzare i marketplace ufficiali: scaricare applicazioni e software da fonti ufficiali e affidabili ed evitare gli app store di terze parti, poiché il rischio che ospitino app dannose o compromesse è più elevato. Anche le piattaforme ufficiali possono contenere applicazioni dannose, quindi è importante controllare sempre le recensioni e le valutazioni prima di effettuare il download.
- Utilizzare software di sicurezza affidabili: installare un software antivirus e antimalware affidabile sui propri dispositivi. Eseguire regolarmente una scansione dei dispositivi alla ricerca di potenziali minacce e mantenere aggiornato il software di sicurezza. Kaspersky Premium protegge gli utenti da minacce note e sconosciute.
- Informarsi sulle truffe più comuni: essere informati sulle ultime minacce informatiche, tecniche e tattiche. Fare attenzione a proposte indesiderate, offerte sospette o richieste urgenti di informazioni personali o finanziarie.
- I software di terze parti provenienti da fonti note sono spesso privi di garanzia e bisogna tenere presente che tali applicazioni possono contenere componenti dannosi, ad esempio a causa di attacchi alla supply chain.
Dichiarazioni
“Dopo aver eluso il rilevamento per quattro anni nelle sue versioni iniziali, l’ultima campagna Mandrake è passata inosservata su Google Play per altri due anni. Questo dimostra le competenze avanzate degli attori delle minacce coinvolti. Inoltre, evidenzia una tendenza preoccupante: con l’inasprimento delle restrizioni e l’aumento dei controlli di sicurezza, cresce il livello di sofisticazione delle minacce che riescono a infiltrarsi negli app store ufficiali, rendendole più difficili da rilevare”, ha commentato Tatyana Shishkova, Lead Security Researcher del GReAT (Global Research and Analysis Team) di Kaspersky.
