Mandrake Mobile Malware voert stiekeme methoden uit om gebruikers te misleiden

Na meer dan twee jaar zich in het volle zicht te hebben verborgen, is er opnieuw een mysterieuze familie van Android-malware bekend als Mandrake op Google Play verschenen. Vermomd als legitieme apps in categorieën als het delen van bestanden, astronomie en cryptocurrency, heeft Mandrake een geschiedenis van het effectief verbergen van zijn spionageactiviteiten. De heropleving van Mandrake werd voor het eerst geïdentificeerd door beveiligingsbedrijf Bitdefender in 2020 en onderstreept de voortdurende uitdagingen op het gebied van mobiele beveiliging.

De evolutie van Mandrake

De operators van Mandrake zijn bedreven in het omzeilen van detectie. Aanvankelijk actief in twee golven – 2016 tot 2017 en 2018 tot 2020 – gebruikt Mandrake verschillende geavanceerde tactieken om onopgemerkt te blijven:

• Geografische targeting : Mandrake vermijdt activiteiten in 90 landen, inclusief die in de voormalige Sovjet-Unie, waardoor het risico op detectie wordt verkleind.
• Selectieve targeting : de malware levert zijn lading alleen aan zeer specifieke doelen.
• Zelfvernietigingsmechanisme : Mandrake is voorzien van een kill-schakelaar, genaamd "seppuku" (een vorm van Japanse rituele zelfmoord), die alle sporen van de malware wist.
• Decoy-apps : volledig functionele lokapps in verschillende categorieën, zoals financiën, auto's en voertuigen, en productiviteit, helpen de ware bedoeling ervan te maskeren.
• Snelle reactie : Ontwikkelaars pakken snel bugs aan die in app-opmerkingen worden gerapporteerd om een façade van legitimiteit te behouden.
• TLS-certificaat vastzetten : deze techniek verbergt de communicatie met commando- en controleservers.

Een nieuwe golf van inbraak

Na het rapport van Bitdefender uit 2020 leek Mandrake te verdwijnen van Google Play. Beveiligingsbedrijf Kaspersky heeft echter gemeld dat de malware in 2022 opnieuw opdook en tot voor kort onopgemerkt bleef. De nieuwe golf van met Mandrake geïnfecteerde apps introduceerde verschillende geavanceerde maatregelen om de verborgenheid te verbeteren, sandbox-analyse te omzeilen en recente malwarebescherming te omzeilen.

Kaspersky-onderzoekers Tatyana Shishkova en Igor Golovin benadrukten de dynamische evolutie van Mandrake en merkten op dat de nieuwste campagne twee jaar onopgemerkt bleef terwijl deze beschikbaar was om te downloaden op Google Play. Dit illustreert de geavanceerde vaardigheden van de dreigingsactoren en de voortdurende uitdaging om strengere app-controles af te dwingen zonder onbedoeld meer geavanceerde dreigingen door te laten glippen.

Geavanceerde verduisteringstechnieken

Een belangrijk kenmerk van de nieuwste Mandrake-generatie zijn de meerdere lagen van verduistering, ontworpen om analyse te dwarsbomen en detectie te omzeilen:

• Native bibliotheken : Schadelijke functionaliteit is verplaatst naar native bibliotheken, waardoor de malware moeilijker te analyseren en te detecteren is.
• OLLVM Obfuscator : Deze tool verduistert de eigen bibliotheek verder, waardoor de stealth van Mandrake wordt vergroot.

Het primaire doel van Mandrake is het stelen van gebruikersgegevens en het downloaden en uitvoeren van kwaadaardige applicaties. Deze acties vinden alleen plaats bij infecties in een later stadium en zijn gericht op een klein aantal zorgvuldig geselecteerde slachtoffers. Eén methode is het opnemen van het scherm terwijl een slachtoffer zijn toegangscode invoert.

De voortdurende strijd

De heropkomst van Mandrake onderstreept de aanhoudende en evoluerende aard van mobiele malwarebedreigingen. Ondanks verbeteringen in beveiligingsmaatregelen en app-controleprocessen blijven bedreigingsactoren steeds geavanceerdere methoden ontwikkelen om officiële app-marktplaatsen te infiltreren. Zoals het verhaal van Mandrake laat zien, zijn waakzaamheid en voortdurende innovatie in beveiligingspraktijken cruciaal om gebruikers tegen deze verborgen gevaren te beschermen.