O Google Play é atingido por uma terceira invasão de malware Mandrake – eles estão escondidos à vista de todos há anos

Uma infestação de aplicativos com spyware Mandrake integrado foi descoberta na Google Play Store, informou a Kaspersky Lab. Esta é a terceira onda do ataque – as duas primeiras ocorreram em 2016–2017 e 2018–2020 e foram descobertas pelo Bitdefender.

Fonte da imagem: Ivana Tomášková / pixabay.com

Os desenvolvedores do malware tomaram medidas rigorosas para impedir a sua detecção. O spyware não funcionou em 90 países ao redor do mundo, incluindo os países da ex-URSS. A entrega da carga maliciosa na última fase foi realizada apenas diretamente às vítimas selecionadas. Os aplicativos continham um kill switch que poderia eliminar rapidamente todos os vestígios de atividades maliciosas. O Mandrake foi distribuído por meio de aplicativos de capa completos – eles foram publicados nas categorias de finanças, carros e veículos, reprodutores e editores de vídeo, arte e design e aplicativos de trabalho. Os desenvolvedores desses aplicativos corrigiram rapidamente erros no funcionamento das funções declaradas oficialmente, que os usuários relataram nos comentários da Play Store. Certificados TLS foram usados ​​para comunicação com servidores de gerenciamento.

Somente na onda de 2018-2020, dezenas de milhares de pessoas foram vítimas do Mandrake, estimou a Bitdefender, e durante todo o período de quatro anos pode haver centenas de milhares delas. Acontece que houve uma terceira onda de distribuição de spyware – começou em 2022, e os especialistas da Kaspersky Lab conseguiram detectá-la apenas em abril de 2024. Agora, eram aplicativos de astronomia, criptomoedas e uma ferramenta de compartilhamento de arquivos. Os desenvolvedores do malware tomaram medidas adicionais que mascararam seu comportamento e impediram sua detecção e análise em sandboxes. Em particular, foi ofuscação – complicando o código para análise, mantendo a funcionalidade – bem como transferindo lógica maliciosa para suas próprias bibliotecas.

Exemplos de aplicativos com Mandrake na Google Play Store. Fonte da imagem: securelist.ru

Os principais objetivos do Mandrake são roubar credenciais de usuários e baixar e executar cargas maliciosas de estágio subsequente. Mas estas ações foram realizadas apenas nas fases finais da infecção e apenas para alvos cuidadosamente selecionados. O principal método é gravar a tela quando a vítima digita uma senha. Para fazer isso, os desenvolvedores de spyware forneceram três cenários.

No primeiro caso, o Mandrake tirava capturas de tela e as enviava em intervalos regulares para o servidor, codificando as capturas de tela em strings base64 – nas quais os invasores poderiam emitir comandos adicionais para alterar a frequência das capturas de tela e alterar sua qualidade. Outros comandos remotos também foram fornecidos: deslizar para uma coordenada de tela específica, alterar o tamanho e a resolução de uma página da web aberta, alternar entre as versões desktop e móvel de um recurso, ativar ou desativar o JavaScript, alterar a linha do agente do usuário, importar ou exportar cookies , ir e voltar, atualização de página, dimensionamento e outras funções. O segundo cenário diferia do primeiro porque as capturas de tela eram gravadas localmente em um arquivo de vídeo; e no terceiro caso, um script de ações foi recebido do servidor em uma visualização em uma página definida, e elas foram registradas. As gravações de tela foram posteriormente carregadas no servidor usando os comandos apropriados.

Nem o Bitdefender nem a Kaspersky Lab disseram quem é o suposto desenvolvedor do Mandrake ou quais foram seus motivos. Até agora, todos os aplicativos com spyware já foram removidos da Play Store.