Een nieuwe versie van een geavanceerde Android-spyware genaamd Mandragora is ontdekt in vijf apps die gedownload konden worden in de Google Play Store en die twee jaar lang onopgemerkt bleven.
De applicaties trokken in totaal meer dan 32.000 installaties aan voordat ze uit de app storefront werden gehaald, zei Kaspersky in een maandagverslag. Een meerderheid van de downloads kwam uit Canada, Duitsland, Italië, Mexico, Spanje, Peru en het VK
“De nieuwe voorbeelden bevatten nieuwe lagen van verduisterings- en ontwijkingstechnieken, zoals het verplaatsen van kwaadaardige functionaliteit naar verduisterde native bibliotheken, het gebruiken van certificaatpinning voor C2-communicatie en het uitvoeren van een breed scala aan tests om te controleren of Mandrake werd uitgevoerd op een geroot apparaat of in een geëmuleerde omgeving”, aldus onderzoekers Tatyana Shishkova en Igor Golovin.
Mandrake werd voor het eerst in mei 2020 gedocumenteerd door de Roemeense cybersecurityleverancier Bitdefender. Daarin werd de doelbewuste aanpak beschreven om een handvol apparaten te infecteren en sinds 2016 in de schaduw te blijven.
De bijgewerkte varianten kenmerken zich door het gebruik van OLLVM om de hoofdfunctionaliteit te verbergen, terwijl ze ook een scala aan sandbox-ontwijkings- en anti-analysetechnieken integreren om te voorkomen dat de code wordt uitgevoerd in omgevingen die worden beheerd door malware-analisten.
Hieronder vindt u de lijst met apps die Mandrake bevatten:
- AirFS (com.airft.ftrnsfr)
- Amber (com.shrp.sight)
- Astro Explorer (com.astro.dscvr)
- Hersenmatrix (com.brnmth.mtrx)
- CryptoPulsing (com.cryptopulsing.browser)
De apps bestaan uit drie fasen: Een dropper die een loader start die verantwoordelijk is voor het uitvoeren van de kerncomponent van de malware nadat deze is gedownload en gedecodeerd vanaf een command-and-control (C2)-server.
De tweede fase payload kan ook informatie verzamelen over de connectiviteitsstatus van het apparaat, geïnstalleerde applicaties, batterijpercentage, extern IP-adres en huidige Google Play-versie. Bovendien kan het de kernmodule wissen en toestemming vragen om overlays te tekenen en op de achtergrond te draaien.
De derde fase ondersteunt aanvullende opdrachten om een specifieke URL in een WebView te laden en een sessie voor het delen van schermen op afstand te starten. Ook kan het scherm van het apparaat worden opgenomen met als doel de inloggegevens van slachtoffers te stelen en meer malware te verspreiden.
“Android 13 introduceerde de ‘Restricted Settings’-functie, die sideloaded applicaties verbiedt om direct gevaarlijke toestemmingen aan te vragen,” aldus de onderzoekers. “Om deze functie te omzeilen, verwerkt Mandrake de installatie met een ‘sessie-gebaseerde’ pakket-installer.”
Het Russische beveiligingsbedrijf beschreef Mandrake als een voorbeeld van een dynamisch evoluerende bedreiging die voortdurend zijn technieken aanscherpt om verdedigingsmechanismen te omzeilen en detectie te ontwijken.
“Hieruit blijkt hoe bekwaam de kwaadwillende partijen zijn. Bovendien blijkt uit het feit dat strengere controles op apps voordat ze op de markt worden gebracht, er alleen maar toe leiden dat er meer geavanceerde, moeilijk te detecteren bedreigingen op de officiële app-marktplaatsen terechtkomen”, aldus het rapport.
Toen Google om commentaar werd gevraagd, vertelde het aan The Hacker News dat het voortdurend bezig is met het versterken van de verdediging van Google Play Protect naarmate er nieuwe schadelijke apps worden gemarkeerd. Ook zou het zijn mogelijkheden uitbreiden met live detectie van bedreigingen om verhulling en anti-ontwijkingstechnieken aan te pakken.
“Android-gebruikers worden automatisch beschermd tegen bekende versies van deze malware door Google Play Protect, dat standaard is ingeschakeld op Android-apparaten met Google Play Services”, aldus een woordvoerder van Google. “Google Play Protect kan gebruikers waarschuwen of apps blokkeren waarvan bekend is dat ze kwaadaardig gedrag vertonen, zelfs als die apps afkomstig zijn van bronnen buiten Play.”
