Une nouvelle version du logiciel espion Android « Mandrake » a été trouvée dans cinq applications téléchargées 32 000 fois sur Google Play, la boutique d’applications officielle de la plateforme.

Bitdefender a documenté Mandrake pour la première fois en 2020, les chercheurs soulignant les capacités d’espionnage sophistiquées des logiciels malveillants et notant qu’il fonctionnait dans la nature depuis au moins 2016.

Kaspersky now rapporte qu’une nouvelle variante de Mandrake qui offre une meilleure obscurcissement et évasion s’est faufilée dans Google Play via cinq applications soumises au store en 2022.

Ces applications sont restées disponibles pendant au moins un an, tandis que la dernière, AirFS, qui était la plus réussie en termes de popularité et d’infections, a été supprimée fin mars 2024.

Diffusé sur Google Play

Kaspersky a identifié les cinq applications porteuses de Mandragore comme suit:

  • AirFS-Partage de fichiers via Wi-Fi par it9042 (30 305 téléchargements entre le 28 avril 2022 et le 15 mars 2024)
  • Astro Explorer par shevabad (718 téléchargements du 30 mai 2022 au 6 juin 2023)
  • Ambre par kodaslda (19 téléchargements entre le 27 février 2022 et le 19 août 2023)
  • CryptoPulsing par shevabad (790 téléchargements du 2 novembre 2022 au 6 juin 2023)
  • Matrice cérébrale par kodaslda (259 téléchargements entre le 27 avril 2022 et le 6 juin 2023)

La firme de cybersécurité affirme que la plupart des téléchargements proviennent du Canada, d’Allemagne, d’Italie, du Mexique, d’Espagne, du Pérou et du Royaume-Uni.

Quatre applications qui déposent le malware Mandrake sur l’appareil de la victime

Échapper à la détection
Contrairement aux logiciels malveillants Android typiques, qui placent une logique malveillante dans le fichier DEX de l’application, Mandrake cache sa phase initiale dans une bibliothèque native, ‘libopencv_dnn.so,’ qui est fortement obscurcissant en utilisant Ovm.

Lors de l’installation de l’application malveillante, la bibliothèque exporte des fonctions pour déchiffrer le chargeur de deuxième étape DEX à partir de son dossier d’actifs et le charger en mémoire.

La deuxième étape demande des autorisations pour dessiner des superpositions et charge une deuxième bibliothèque native, ‘libopencv_java3.so,’ qui déchiffre un certificat pour des communications sécurisées avec le serveur de commande et de contrôle (C2).

Après avoir établi la communication avec le C2, l’application envoie un profil d’appareil et reçoit le composant principal de Mandragore (troisième étage) si cela est jugé approprié.

Une fois le composant principal activé, le logiciel espion Mandrake peut effectuer un large éventail d’activités malveillantes, notamment la collecte de données, l’enregistrement et la surveillance d’écran, l’exécution de commandes, la simulation des balayages et des tapotements de l’utilisateur, la gestion de fichiers et l’installation d’applications.

Notamment, les acteurs de la menace peuvent inciter les utilisateurs à installer d’autres fichiers APK malveillants en affichant des notifications qui imitent Google Play, dans l’espoir d’inciter les utilisateurs à installer des fichiers dangereux via un processus apparemment fiable.

Kaspersky affirme que le logiciel malveillant utilise également la méthode d’installation basée sur la session pour contourner les restrictions d’Android 13 (et versions ultérieures) sur l’installation d’APK à partir de sources non officielles.

Comme d’autres logiciels malveillants Android, Mandrake peut demander à l’utilisateur d’accorder l’autorisation de s’exécuter en arrière-plan et de masquer l’icône de l’application compte-gouttes sur l’appareil de la victime, fonctionnant furtivement.

La dernière version du malware propose également l’évasion de la pâte, vérifiant désormais spécifiquement la présence de Frida, une boîte à outils d’instrumentation dynamique populaire parmi les analystes de sécurité.

Il vérifie également l’état racine du périphérique, recherche les binaires spécifiques qui lui sont associés, vérifie si la partition système est montée en lecture seule et vérifie si les paramètres de développement et ADB sont activés sur le périphérique.

La menace de Mandragore reste vivante et, bien que les cinq applications identifiées comme des droppers par Kaspersky ne soient plus disponibles sur Google Play, le malware pourrait revenir via de nouvelles applications plus difficiles à détecter.

Il est recommandé aux utilisateurs d’Android d’installer uniquement des applications d’éditeurs réputés, de vérifier les commentaires des utilisateurs avant l’installation, d’éviter d’accorder des demandes d’autorisations risquées qui ne semblent pas liées à la fonction d’une application et de s’assurer que Play Protect est toujours actif.

Google a partagé la déclaration suivante sur les applications malveillantes trouvées sur Google Play.

« Google Play Protect s’améliore continuellement avec chaque application identifiée. Nous améliorons toujours ses capacités, y compris la détection des menaces en direct à venir pour aider à lutter contre les techniques d’obscurcissement et d’anti-évasion », a déclaré Google à Breachtrace.

« Les utilisateurs d’Android sont automatiquement protégés contre les versions connues de ce malware par Google Play Protect, qui est activé par défaut sur les appareils Android dotés des services Google Play. Google Play Protect peut avertir les utilisateurs ou bloquer les applications connues pour présenter un comportement malveillant, même lorsque ces applications proviennent de sources extérieures à Play. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *