Unica Radio Raccontiamo la città che cambia
Kaspersky: Nuove Tecniche di Offuscamento e Evasione Complicano la Rilevazione dello Spyware Mandrake su Google Play
Milano, 29 luglio 2024 (Adnkronos) – I ricercatori di Kaspersky hanno identificato una nuova campagna di spyware che diffonde il malware Mandrake attraverso Google Play. Questo spyware si nasconde sotto le sembianze di applicazioni legittime legate a criptovalute, astronomia e utility.
Gli esperti di Kaspersky hanno scoperto cinque applicazioni Mandrake su Google Play, disponibili da due anni, con oltre 32.000 download. Queste applicazioni utilizzano tecniche avanzate di offuscamento ed evasione per non essere rilevate dai vendor di sicurezza.
Mandrake, scoperto per la prima volta nel 2020, è una sofisticata piattaforma di spionaggio Android attiva almeno dal 2016. Nell’aprile 2024, i ricercatori Kaspersky hanno individuato un campione sospetto, suggerendo una nuova versione di Mandrake con funzionalità migliorate.
Tecniche Avanzate di Offuscamento per Ingannare i Controlli di Sicurezza
I nuovi campioni presentano tecniche avanzate di offuscamento ed elusione, come lo spostamento delle funzioni dannose in librerie native oscurate utilizzando OLLVM. Implementano il pinning dei certificati per la comunicazione sicura con i server command and control (C2) e controlli approfonditi per rilevare se Mandrake sta operando su un dispositivo rooted o in un ambiente simulato.
La caratteristica principale della nuova variante di Mandrake è l’integrazione di tecniche avanzate di offuscamento progettate per aggirare i controlli di sicurezza di Google Play e ostacolare l’analisi. Gli esperti di Kaspersky hanno identificato cinque applicazioni contenenti lo spyware Mandrake, scaricate complessivamente più di 32.000 volte.
Queste applicazioni, tutte rilasciate su Google Play nel 2022, erano disponibili per il download da almeno un anno. Le app includevano una per la condivisione di file via Wi-Fi, una per servizi di astronomia, un gioco Amber for Genshin, un’app per criptovalute e un’app per puzzle di logica. Secondo VirusTotal, a luglio 2024 nessuna di queste applicazioni è stata rilevata come malware da alcun fornitore.
Sebbene queste applicazioni dannose non siano più presenti su Google Play, erano disponibili in numerosi Paesi, con la maggior parte dei download in Canada, Germania, Italia, Messico, Spagna, Perù e Regno Unito.
Le somiglianze tra la campagna attuale e quella precedente, con domini C2 registrati in Russia, suggeriscono che l’attore della minaccia sia lo stesso indicato nel primo report di Bitdefender.
“Dopo aver eluso il rilevamento per quattro anni nelle sue versioni iniziali, l’ultima campagna Mandrake è passata inosservata su Google Play per altri due anni”, ha commentato Tatyana Shishkova, Lead Security Researcher del GReAT (Global Research and Analysis Team) di Kaspersky.
