Mandrake Mobile Malware realiza métodos sorrateiros para enganar os usuários

Depois de mais de dois anos escondido à vista de todos, uma misteriosa família de malware para Android conhecida como Mandrake surgiu mais uma vez no Google Play. Disfarçado de aplicativos legítimos em categorias como compartilhamento de arquivos, astronomia e criptomoeda, o Mandrake tem um histórico de ocultar efetivamente suas atividades de espionagem. Identificado pela primeira vez pela empresa de segurança Bitdefender em 2020, o ressurgimento do Mandrake destaca os desafios contínuos na segurança móvel.

A Evolução da Mandrágora

Os operadores da Mandrake provaram ser hábeis em evitar a detecção. Inicialmente ativa em duas ondas – 2016 a 2017 e 2018 a 2020 – a Mandrake emprega várias táticas sofisticadas para permanecer indetectável:

• Segmentação Geográfica : A Mandrake evita operar em 90 países, incluindo aqueles da antiga União Soviética, reduzindo o risco de detecção.
• Direcionamento seletivo : o malware entrega sua carga útil apenas a alvos altamente específicos.
• Mecanismo de autodestruição : Mandrake possui um kill switch, chamado “seppuku” (uma forma de suicídio ritual japonês), que apaga todos os vestígios do malware.
• Aplicativos chamariz : aplicativos chamariz totalmente funcionais em várias categorias, como finanças, automóveis e veículos e produtividade, ajudam a mascarar sua verdadeira intenção.
• Resposta rápida : os desenvolvedores resolvem rapidamente os bugs relatados nos comentários do aplicativo para manter uma fachada de legitimidade.
• Fixação de certificado TLS : esta técnica oculta comunicações com servidores de comando e controle.

Uma nova onda de intrusão

Seguindo o relatório de 2020 da Bitdefender, o Mandrake pareceu desaparecer do Google Play. No entanto, a empresa de segurança Kaspersky informou que o malware reapareceu em 2022, passando despercebido até recentemente. A nova onda de aplicativos infectados pelo Mandrake introduziu várias medidas avançadas para melhorar a ocultação, evitar análises de sandbox e contornar proteções recentes contra malware.

Os pesquisadores da Kaspersky, Tatyana Shishkova e Igor Golovin, destacaram a evolução dinâmica do Mandrake, observando que sua última campanha permaneceu sem ser detectada por dois anos, enquanto estava disponível para download no Google Play. Isso ilustra as habilidades sofisticadas dos agentes de ameaças e o desafio contínuo de impor controles mais rígidos aos aplicativos sem permitir inadvertidamente que ameaças mais sofisticadas passem despercebidas.

Técnicas avançadas de ofuscação

Uma característica fundamental da última geração do Mandrake são suas múltiplas camadas de ofuscação, projetadas para impedir a análise e evitar a detecção:

• Bibliotecas nativas : a funcionalidade maliciosa foi movida para bibliotecas nativas, tornando o malware mais difícil de analisar e detectar.
• OLLVM Obfuscator : Esta ferramenta ofusca ainda mais a biblioteca nativa, aumentando a furtividade do Mandrake.

O objetivo principal do Mandrake é roubar credenciais de usuários e baixar e executar aplicativos maliciosos de próximo estágio. Estas ações ocorrem apenas em infecções em fase avançada, visando um pequeno número de vítimas cuidadosamente selecionadas. Um método envolve gravar a tela enquanto a vítima digita sua senha.

A batalha contínua

O ressurgimento do Mandrake destaca a natureza persistente e evolutiva das ameaças de malware móvel. Apesar das melhorias nas medidas de segurança e nos processos de verificação de aplicativos, os agentes de ameaças continuam a desenvolver métodos mais sofisticados para se infiltrar nos mercados oficiais de aplicativos. Como demonstra a história da Mandrake, a vigilância e a inovação contínua nas práticas de segurança são cruciais para proteger os utilizadores destes perigos ocultos.