Technologie

technologie Android

Une nouvelle version du logiciel espion Android ‘Mandrake’ a été découverte dans cinq applications, qui ont été téléchargées 32 000 fois depuis Google Play, la boutique officielle d’applications de la plateforme.

Bitdefender a d’abord signalé Mandrake en 2020, mettant en avant les capacités d’espionnage sophistiquées de ce malware, qui est actif depuis au moins 2016.

Kaspersky a récemment révélé qu’une variante améliorée de Mandrake, dotée de meilleures techniques d’obfuscation et d’évasion, a réussi à infiltrer Google Play à travers cinq applications soumises en 2022.

Ces applications sont restées disponibles pendant au moins un an, la dernière d’entre elles, AirFS, qui a connu le plus grand succès en termes de popularité et d’infections, ayant été retirée à la fin mars 2024.

AirFS sur Google Play
AirFS sur Google Play
Source : Kaspersky

Kaspersky a identifié les cinq applications contenant Mandrake comme suit :

  • AirFS – Partage de fichiers via Wi-Fi par it9042 (30 305 téléchargements entre le 28 avril 2022 et le 15 mars 2024)
  • Astro Explorer par shevabad (718 téléchargements du 30 mai 2022 au 6 juin 2023)
  • Amber par kodaslda (19 téléchargements entre le 27 février 2022 et le 19 août 2023)
  • CryptoPulsing par shevabad (790 téléchargements du 2 novembre 2022 au 6 juin 2023)
  • Brain Matrix par kodaslda (259 téléchargements entre le 27 avril 2022 et le 6 juin 2023)

La société de cybersécurité indique que la majorité des téléchargements proviennent du Canada, d’Allemagne, d’Italie, du Mexique, d’Espagne, du Pérou et du Royaume-Uni.

Quatre applications qui installent Mandrake sur l'appareil de la victime
Quatre applications qui installent le malware Mandrake sur l’appareil de la victime
Source : Kaspersky

Évasion de la détection

Contrairement aux malwares Android classiques, qui intègrent une logique malveillante dans le fichier DEX de l’application, Mandrake dissimule sa première étape dans une bibliothèque native, ‘libopencv_dnn.so’, qui est fortement obfusquée à l’aide d’OLLLVM.

Lors de l’installation de l’application malveillante, la bibliothèque exporte des fonctions pour déchiffrer le chargeur DEX de deuxième étape à partir de son dossier d’actifs et le charge en mémoire.

La deuxième étape demande des autorisations pour afficher des superpositions et charge une seconde bibliothèque native, ‘libopencv_java3.so’, qui déchiffre un certificat pour des communications sécurisées avec le serveur de commande et de contrôle (C2).

Après avoir établi une communication avec le C2, l’application envoie un profil de l’appareil et reçoit le composant principal de Mandrake (troisième étape) si l’appareil est jugé approprié.

Une fois le composant principal activé, le logiciel espion Mandrake peut exécuter une large gamme d’activités malveillantes, y compris la collecte de données, l’enregistrement d’écran, la surveillance, l’exécution de commandes, la simulation de gestes de l’utilisateur, la gestion de fichiers et l’installation d’applications.

Il est à noter que les acteurs malveillants peuvent inciter les utilisateurs à installer d’autres APK malveillants en affichant des notifications imitant Google Play, espérant ainsi tromper les utilisateurs pour qu’ils installent des fichiers non sécurisés via un processus apparemment fiable.

Kaspersky indique également que le malware utilise une méthode d’installation basée sur des sessions pour contourner les restrictions d’Android 13 (et versions ultérieures) concernant l’installation d’APKs provenant de sources non officielles.

Comme d’autres malwares Android, Mandrake peut demander à l’utilisateur d’accorder des autorisations pour fonctionner en arrière-plan et dissimuler l’icône de l’application de déploiement sur l’appareil de la victime, opérant ainsi de manière discrète.

La dernière version du malware présente également des techniques d’évasion de la batterie, vérifiant spécifiquement la présence de Frida, un outil d’instrumentation dynamique prisé des analystes de sécurité.

Elle vérifie également l’état de root de l’appareil, recherche des binaires spécifiques associés, s’assure que la partition système est montée en lecture seule et vérifie si les paramètres de développement et ADB sont activés sur l’appareil.

La menace Mandrake demeure active, et bien que les cinq applications identifiées comme porteuses par Kaspersky ne soient plus disponibles sur Google Play, le malware pourrait réapparaître via de nouvelles applications plus difficiles à détecter.

Il est recommandé aux utilisateurs d’Android d’installer uniquement des applications provenant d’éditeurs réputés, de consulter les commentaires des utilisateurs avant d’installer, d’éviter d’accorder des autorisations risquées qui semblent sans rapport avec la fonction d’une application, et de s’assurer que Play Protect est toujours activé.

Google a partagé la déclaration suivante concernant les applications malveillantes trouvées sur Google Play :

« Google Play Protect s’améliore continuellement avec chaque application identifiée. Nous renforçons constamment ses capacités, y compris la détection de menaces en temps réel à venir pour aider à lutter contre les techniques d’obfuscation et d’évasion », a déclaré Google à BleepingComputer.

« Les utilisateurs d’Android sont automatiquement protégés contre les versions connues de ce malware par Google Play Protect, qui est activé par défaut sur les appareils Android avec Google Play Services. Google Play Protect peut avertir les utilisateurs ou bloquer des applications connues pour leur comportement malveillant, même lorsque ces applications proviennent de sources extérieures à Play. »

Image de technologie

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *