Google Play depuis 2022 ! »>Mandrake : Un Malware Android Discret et Évolutif
Une menace insidieuse
Une famille de logiciels malveillants Android, connue sous le nom de Mandrake, a récemment refait surface sur Google Play après plus de deux ans d’absence. Ce malware est reconnu pour sa capacité à dissimuler efficacement ses activités d’espionnage. Les applications infectées, qui se présentent comme des outils de partage de fichiers, des applications d’astronomie et de cryptomonnaie, ont été signalées par la société de sécurité Bitdefender en 2020.
Un camouflage sophistiqué
Bitdefender a observé que Mandrake avait été actif en deux vagues, la première entre 2016 et 2017, et la seconde de 2018 à 2020. Ce qui a permis à Mandrake de passer inaperçu, c’est une série de mesures rigoureuses, notamment :
- L’absence de fonctionnement dans 90 pays, y compris ceux de l’ex-Union soviétique.
- La livraison de son contenu malveillant uniquement à des cibles très spécifiques.
- L’intégration d’un mécanisme d’autodestruction, nommé « seppuku », qui efface toutes les traces du malware.
- La création d’applications leurres dans des catégories variées telles que la finance, les véhicules, les lecteurs vidéo, l’art et la productivité.
- Des corrections rapides pour les bugs signalés par les utilisateurs.
- L’utilisation de la technique de « TLS certificate pinning » pour dissimuler les communications avec les serveurs de commande et de contrôle.
Une résurgence inquiétante
Selon les estimations de Bitdefender, le nombre de victimes pourrait atteindre des dizaines de milliers pour la période de 2018 à 2020, et probablement plusieurs centaines de milliers sur l’ensemble de la période de quatre ans. Après le rapport de 2020, les applications infectées par Mandrake semblaient avoir disparu de Google Play. Cependant, Kaspersky a récemment signalé leur réapparition en 2022, avec des mesures supplémentaires pour dissimuler leur comportement malveillant et éviter l’analyse par les chercheurs.
Les chercheurs de Kaspersky, Tatyana Shishkova et Igor Golovin, ont noté que « le logiciel espion Mandrake évolue de manière dynamique, améliorant ses méthodes de dissimulation et contournant les nouvelles protections mises en place ». Les applications de la première campagne étaient restées indétectées pendant quatre ans, tandis que la campagne actuelle a réussi à se cacher pendant deux ans tout en étant disponible au téléchargement sur Google Play.
Techniques de dissimulation avancées
La dernière génération de Mandrake utilise plusieurs couches d’obfuscation pour empêcher l’analyse par les chercheurs et contourner le processus de vérification de Google Play. Les cinq applications découvertes par Kaspersky ont été publiées sur Play en 2022 et sont restées disponibles pendant au moins un an. La plus récente a été mise à jour le 15 mars et retirée du marché peu après. À ce jour, aucune de ces applications n’a été identifiée comme malveillante par les principaux fournisseurs de détection de malware.
Une des techniques d’obfuscation consiste à déplacer les fonctionnalités malveillantes vers des bibliothèques natives, rendant leur analyse plus complexe. Auparavant, Mandrake stockait sa logique malveillante dans un fichier DEX, facilement analysable. En déplaçant cette logique vers la bibliothèque native libopencv_dnn.so et en l’obfusquant davantage, Mandrake devient plus difficile à détecter.
Objectifs et méthodes d’attaque
Les principaux objectifs de Mandrake sont de voler les identifiants des utilisateurs et de télécharger des applications malveillantes supplémentaires. Ces actions ne sont réalisées que lors d’infections avancées, ciblant un nombre restreint de victimes soigneusement sélectionnées. La méthode principale consiste à enregistrer l’écran pendant que la victime saisit son code d’accès. Ce processus est déclenché par des commandes envoyées par un serveur de contrôle.
Les chercheurs expliquent que lorsque Mandrake reçoit une commande de démarrage, il charge une URL dans une interface web et commence à prendre des captures d’écran à intervalles réguliers, les envoyant ensuite au serveur de commande. Les attaquants peuvent ajuster le taux de capture et la qualité des images.
Conclusion
Ni Kaspersky ni Bitdefender n’ont pu attribuer ces activités à un groupe spécifique ni déterminer les motivations derrière la diffusion d’un logiciel espion aussi sophistiqué que Mandrake. Les applications identifiées par Kaspersky ont été retirées de Google Play, mais des indicateurs supplémentaires de compromission sont disponibles dans leur rapport.
| Nom du package | Nom de l’application | MD5 | Développeur | Date de sortie | Dernière mise à jour sur Google Play | Téléchargements |
|---|---|---|---|---|---|---|
| com.airft.ftrnsfr | AirFS | 33fdfbb1acdc226eb177eb42f3d22db4 | it9042 | 28 avril 2022 | 15 mars 2024 | 30,305 |
| com.astro.dscvr | Astro Explorer | 31ae39a7abeea3901a681f847199ed88 | shevabad | 30 mai 2022 | 6 juin 2023 | 718 |
| com.shrp.sght | Amber | b4acfaeada60f41f6925628c824bb35e | kodaslda | 27 février 2022 | 19 août 2023 | 19 |
| com.cryptopulsing.browser | CryptoPulsing | e165cda25ef49c02ed94ab524fafa938 | shevabad | 2 novembre 2022 | 6 juin 2023 | 790 |
| com.brnmth.mtrx | Brain Matrix | – | kodaslda | 27 avril 2022 | 6 juin 2023 | 259 |
