Mandrake Mobile Malware utilizza metodi subdoli per ingannare gli utenti

Dopo più di due anni nascosti in bella vista, una misteriosa famiglia di malware Android conosciuta come Mandrake è riapparsa su Google Play. Travestita da app legittime in categorie come condivisione di file, astronomia e criptovaluta, Mandrake ha una storia di nascondere efficacemente le sue attività di spionaggio. Identificata per la prima volta dalla società di sicurezza Bitdefender nel 2020, la rinascita di Mandrake sottolinea le sfide attuali nella sicurezza mobile.

L'evoluzione della mandragora

Gli operatori di Mandrake si sono dimostrati abili nell'eludere il rilevamento. Inizialmente attivo in due ondate, dal 2016 al 2017 e dal 2018 al 2020, Mandrake impiega diverse tattiche sofisticate per non essere scoperto:

• Targeting geografico : Mandrake evita di operare in 90 paesi, compresi quelli dell'ex Unione Sovietica, riducendo il rischio di essere scoperti.
• Targeting selettivo : il malware distribuisce il suo carico utile solo a obiettivi altamente specifici.
• Meccanismo di autodistruzione : Mandrake è dotato di un kill switch, chiamato "seppuku" (una forma di suicidio rituale giapponese), che cancella tutte le tracce del malware.
• App esca : app esca completamente funzionali in varie categorie come finanza, auto e veicoli e produttività aiutano a mascherare il suo vero intento.
• Risposta rapida : gli sviluppatori risolvono rapidamente i bug segnalati nei commenti dell'app per mantenere una facciata di legittimità.
• Pinning del certificato TLS : questa tecnica nasconde le comunicazioni con i server di comando e controllo.

Una nuova ondata di intrusioni

A seguito del rapporto 2020 di Bitdefender, Mandrake sembrava scomparire da Google Play. Tuttavia, la società di sicurezza Kaspersky ha riferito che il malware è riapparso nel 2022, passando inosservato fino a poco tempo fa. La nuova ondata di app infette da Mandrake ha introdotto diverse misure avanzate per migliorare l’occultamento, eludere l’analisi sandbox e aggirare le recenti protezioni antimalware.

I ricercatori di Kaspersky Tatyana Shishkova e Igor Golovin hanno evidenziato l'evoluzione dinamica di Mandrake, sottolineando che la sua ultima campagna è rimasta nascosta per due anni mentre era disponibile per il download su Google Play. Ciò illustra le competenze sofisticate degli autori delle minacce e la sfida continua di applicare controlli più severi sulle app senza consentire inavvertitamente il passaggio di minacce più sofisticate.

Tecniche avanzate di offuscamento

Una caratteristica chiave dell'ultima generazione Mandrake sono i suoi molteplici livelli di offuscamento, progettati per contrastare l'analisi ed eludere il rilevamento:

• Librerie native : le funzionalità dannose sono state spostate nelle librerie native, rendendo il malware più difficile da analizzare e rilevare.
• OLLVM Obfuscator : questo strumento offusca ulteriormente la libreria nativa, migliorando la furtività di Mandrake.

L'obiettivo principale di Mandrake è rubare le credenziali dell'utente e scaricare ed eseguire applicazioni dannose della fase successiva. Queste azioni si verificano solo nelle infezioni in fase avanzata, prendendo di mira un piccolo numero di vittime accuratamente selezionate. Un metodo prevede la registrazione dello schermo mentre una vittima inserisce il proprio passcode.

La battaglia in corso

La riemersione di Mandrake evidenzia la natura persistente e in evoluzione delle minacce malware mobili. Nonostante i miglioramenti nelle misure di sicurezza e nei processi di controllo delle app, gli autori delle minacce continuano a sviluppare metodi più sofisticati per infiltrarsi nei marketplace ufficiali delle app. Come dimostra la storia di Mandrake, la vigilanza e l'innovazione continua nelle pratiche di sicurezza sono fondamentali per proteggere gli utenti da questi pericoli nascosti.