Negli ultimi due anni, un nuovo spyware sofisticato chiamato Mandrake è stato scoperto all'interno di cinque applicazioni disponibili per il download nel Google Play Store. Questo spyware è riuscito a restare indisturbato per un periodo sorprendentemente lungo, raccogliendo oltre 32.000 installazioni prima di essere rimosso. La maggior parte di queste installazioni proveniva da paesi come Canada, Germania, Italia, Messico, Spagna, Perù e Regno Unito.

Mandrake si distingue per l'uso di nuove tecniche di offuscamento e evasione, come lo spostamento delle funzionalità dannose in librerie native offuscate, l'uso del pinning dei certificati per le comunicazioni C2, e una serie di test per verificare se il malware sta girando su un dispositivo con root o in un ambiente emulato. Queste tecniche sono progettate per impedire che il codice venga eseguito in ambienti controllati dagli analisti di malware.

Mandrake è stato documentato per la prima volta dal vendor di cybersecurity rumeno Bitdefender nel maggio 2020, che ha descritto l'approccio deliberato del malware per infettare un numero limitato di dispositivi e rimanere nascosto dal 2016. Le varianti aggiornate utilizzano OLLVM per nascondere le funzionalità principali e incorporano tecniche di evasione della sandbox e anti-analisi per prevenire l'esecuzione del codice in ambienti di analisi.

Le applicazioni che contenevano Mandrake sono le seguenti:

• AirFS (com.airft.ftrnsfr)
• Amber (com.shrp.sght)
• Astro Explorer (com.astro.dscvr)
• Brain Matrix (com.brnmth.mtrx)
• CryptoPulsing (com.cryptopulsing.browser)

Queste app operano in tre fasi: un dropper che lancia un loader responsabile dell'esecuzione del componente principale del malware dopo averlo scaricato e decrittato da un server di comando e controllo (C2). Il payload della seconda fase raccoglie informazioni sullo stato di connettività del dispositivo, le applicazioni installate, la percentuale di batteria, l'indirizzo IP esterno e la versione corrente di Google Play. Inoltre, può cancellare il modulo principale e richiedere permessi per disegnare overlay e funzionare in background. La terza fase supporta comandi aggiuntivi per caricare un URL specifico in un WebView, avviare una sessione di condivisione dello schermo remota e registrare lo schermo del dispositivo con l'obiettivo di rubare le credenziali delle vittime e diffondere ulteriore malware.

Gli esperti di sicurezza hanno sottolineato come Mandrake rappresenti una minaccia in continua evoluzione, perfezionando costantemente le sue tecniche per aggirare i meccanismi di difesa e evitare la rilevazione. Questo sottolinea le abilità formidabili degli attori delle minacce e la necessità di controlli più rigorosi per le applicazioni prima della loro pubblicazione nei mercati ufficiali.

Google ha risposto affermando che sta potenziando continuamente le difese di Google Play Protect per identificare e bloccare nuove app dannose, e ha migliorato le sue capacità per includere la rilevazione delle minacce in tempo reale.