Technologie

Découverte d’une Nouvelle Version du Spyware Mandrake

Une récente enquête menée par Kaspersky, une entreprise russe spécialisée dans la cybersécurité, a révélé qu’une nouvelle version du spyware Mandrake se cachait dans cinq applications du Google Play Store. Ces applications sont les suivantes :

  • AirFS (com.airft.ftrnsfr)
  • Amber (com.shrp.sght)
  • Brain Matrix (com.Astro.dscvr)
  • Cryptopulsing (com.breath.mtrx)
  • Astro Explorer (com.crypto pulsing.browser)

Statistiques de Téléchargement

Selon le rapport, ce spyware a été présent dans ces applications pendant les deux dernières années, totalisant plus de 32 000 installations. La majorité des téléchargements proviennent de pays tels que le Mexique, l’Espagne, le Pérou, l’Allemagne, le Canada et le Royaume-Uni. Toutes les applications concernées ont été retirées du magasin d’applications, la plus populaire, AirFS, ayant été supprimée fin mars 2024.

Détails sur la Nouvelle Version de Mandrake

Les chercheurs Tatyana Shishkova et Igor Golovin ont noté que cette nouvelle version utilise des techniques d’évasion avancées :

  • Déplacement des fonctionnalités malveillantes vers des bibliothèques natives obscurcies
  • Utilisation de la validation de certificats pour les communications C2
  • Réalisation de divers tests pour déterminer si Mandrake s’exécute sur un appareil rooté ou dans un environnement émulé

Par exemple, Android 13 a introduit une fonctionnalité de « Paramètres Restreints » qui empêche les applications sideload de demander des autorisations dangereuses. Cependant, Mandrake contourne habilement cette restriction en utilisant un installateur de paquets basé sur des sessions.

Les Trois Étapes de l’Infection

Le processus d’infection se déroule en trois étapes :

  1. Première étape : Un dropper qui lance un chargeur pour exécuter le composant principal du malware après le téléchargement.
  2. Deuxième étape : Collecte d’informations sur l’état de connectivité de l’appareil, le pourcentage de batterie, l’adresse IP et la version actuelle de Google Play. À ce stade, le spyware peut également supprimer le module principal et obtenir l’autorisation d’afficher des superpositions et de fonctionner en arrière-plan.
  3. Troisième étape : Chargement d’une URL spéciale sur le web, permettant à l’attaquant d’accéder à un partage d’écran à distance.

Réaction de Google

Google a été informé de cette situation et a déclaré qu’il renforce constamment sa sécurité pour empêcher de tels acteurs malveillants d’atteindre ses utilisateurs. Par exemple, la société a intégré une technique de détection des menaces en temps réel pour contrer les techniques d’évasion.

Concernant Mandrake, Google a précisé que les utilisateurs sont déjà protégés contre les versions connues de ce spyware grâce à Google Play Protect, qui est activé par défaut sur tous les appareils Android. Cependant, comme l’a souligné Kaspersky, Mandrake est un malware en constante évolution, rendant son élimination un défi majeur.

On pense que le spyware a commencé à être actif en 2016, mais il a réussi à échapper à la détection jusqu’en 2020, lorsqu’il a été documenté pour la première fois par le fournisseur de cybersécurité roumain Bitdefender. Quatre ans se sont écoulés, et Mandrake a réussi à éviter la capture à chaque fois.

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *