Selon un rapport technique de Kaspersky, le spyware Mandrake est passé inaperçu pendant deux ans sur Google Play et a infecté plus de 32 000 appareils. En tout cas, c'est le nombre de téléchargements en rapport avec cinq applications compromises.
Les applications Android en question ont toutes été publiées sur Google Play en 2022 et sont restées disponibles durant au moins un an. L'application AirFS la plus populaire (plus de 30 000 téléchargements à elle seule) a été supprimée fin mars 2024, après une ultime mise à jour quelques jours plus tôt.
Éditée par it9042, l'application AirFS se présentait comme une application de partage de fichiers via Wi-Fi. Les autres applications portaient les noms de CryptoPulsing et Astro Explorer par shevabad, Brain Matrix et Amber par kodaslda.
La plupart des téléchargements avaient pour origine l'Allemagne, le Canada, l'Espagne, l'Italie, le Mexique, le Pérou et le Royaume-Uni.
Une plateforme malveillante en évolution
Kaspersky assimile Mandrake à une plateforme sophistiquée de cyberespionnage pour Android. Elle est active depuis au moins 2016. C'est une nouvelle variante qui a été en mesure de passer outre les fourches caudines d'éditeurs de solutions de cybersécurité.
En particulier, le code malveillant est masqué dans des bibliothèques natives obfusquées pour rendre une détection plus difficile. Il est aussi souligné l'utilisation du " certificate pinning " pour l'authentification des communications avec le serveur de commande et de contrôle, afin de complexifier l'interception du trafic réseau.
Globalement, Kaspersky met en avant un arsenal diversifié de techniques d'évasion de sandbox et de techniques pour contrer les analyses anti-malware. À noter en outre que les domaines de commande et de contrôle étaient enregistrés en Russie.
Un constat malheureux
" À mesure que les restrictions se renforcent et que les contrôles de sécurité deviennent plus stricts, la complexité des menaces qui pénètrent dans les applications officielles s'accroît, ce qui les rend plus difficiles à détecter ", commente Tatyana Shishkova, chercheuse principale en sécurité au GReAT de Kaspersky.
