Mandrake Mobile Malware utilise des méthodes sournoises pour tromper les utilisateurs

Après plus de deux ans cachés à la vue de tous, une mystérieuse famille de logiciels malveillants Android connue sous le nom de Mandrake a de nouveau émergé sur Google Play. Déguisée en applications légitimes dans des catégories telles que le partage de fichiers, l'astronomie et la crypto-monnaie, Mandrake a l'habitude de dissimuler efficacement ses activités d'espionnage. Identifiée pour la première fois par la société de sécurité Bitdefender en 2020, la résurgence de Mandrake souligne les défis persistants en matière de sécurité mobile.

L'évolution de la mandragore

Les opérateurs de Mandrake se sont révélés habiles à échapper à la détection. Initialement actif en deux vagues (2016 à 2017 et 2018 à 2020), Mandrake emploie plusieurs tactiques sophistiquées pour rester indétectable :

• Ciblage géographique : Mandrake évite d'opérer dans 90 pays, y compris ceux de l'ex-Union soviétique, réduisant ainsi le risque de détection.
• Ciblage sélectif : le malware délivre sa charge utile uniquement à des cibles très spécifiques.
• Mécanisme d'autodestruction : Mandrake dispose d'un kill switch, nommé « seppuku » (une forme de suicide rituel japonais), qui efface toute trace du malware.
• Applications leurres : des applications leurres entièrement fonctionnelles dans diverses catégories telles que la finance, l'automobile et les véhicules, et la productivité aident à masquer sa véritable intention.
• Réponse rapide : les développeurs corrigent rapidement les bugs signalés dans les commentaires de l'application pour maintenir une façade de légitimité.
• TLS Certificate Pinning : Cette technique dissimule les communications avec les serveurs de commande et de contrôle.

Une nouvelle vague d'intrusion

Suite au rapport 2020 de Bitdefender, Mandrake semble disparaître de Google Play. Cependant, la société de sécurité Kaspersky a signalé que le malware était réapparu en 2022, passant inaperçu jusqu'à récemment. La nouvelle vague d'applications infectées par Mandrake a introduit plusieurs mesures avancées pour améliorer la dissimulation, échapper à l'analyse sandbox et contourner les protections récentes contre les logiciels malveillants.

Les chercheurs de Kaspersky, Tatyana Shishkova et Igor Golovin, ont souligné l'évolution dynamique de Mandrake, notant que sa dernière campagne est restée indétectée pendant deux ans alors qu'elle était disponible en téléchargement sur Google Play. Cela illustre les compétences sophistiquées des acteurs de la menace et le défi permanent consistant à appliquer des contrôles plus stricts sur les applications sans permettre par inadvertance à des menaces plus sophistiquées de se faufiler.

Techniques avancées d’obscurcissement

Une caractéristique clé de la dernière génération Mandrake réside dans ses multiples couches d'obscurcissement, conçues pour contrecarrer l'analyse et échapper à la détection :

• Bibliothèques natives : les fonctionnalités malveillantes ont été déplacées vers les bibliothèques natives, ce qui rend les logiciels malveillants plus difficiles à analyser et à détecter.
• OLLVM Obfuscator : Cet outil obscurcit davantage la bibliothèque native, améliorant ainsi la furtivité de Mandrake.

L'objectif principal de Mandrake est de voler les informations d'identification des utilisateurs, ainsi que de télécharger et d'exécuter des applications malveillantes de niveau supérieur. Ces actions ne se produisent que lors d’infections à un stade avancé, ciblant un petit nombre de victimes soigneusement sélectionnées. Une méthode consiste à enregistrer l’écran pendant qu’une victime saisit son mot de passe.

La bataille en cours

La réémergence de Mandrake met en évidence la nature persistante et évolutive des menaces de logiciels malveillants mobiles. Malgré les améliorations apportées aux mesures de sécurité et aux processus de vérification des applications, les acteurs malveillants continuent de développer des méthodes plus sophistiquées pour infiltrer les marchés d'applications officiels. Comme le démontre l'histoire de Mandrake, la vigilance et l'innovation continue dans les pratiques de sécurité sont essentielles pour protéger les utilisateurs de ces dangers cachés.