Mandrake

Les chercheurs d'Infosec ont découvert une campagne haut de gamme ciblant les utilisateurs d'Android situés en Australie avec un outil appelé Mandrake . Bien entendu, les cybercriminels à l’origine de l’outil de piratage Mandrake peuvent choisir de changer d’orientation et de cibler les utilisateurs depuis un endroit différent lors de leurs futures campagnes. Le malware Mandrake est apparu pour la première fois en 2016. Depuis que les analystes de logiciels malveillants ont repéré la menace Mandrake, ses créateurs ont introduit des mises à jour régulières. Les créateurs de la menace Mandrake ont ajouté de nouvelles fonctionnalités, optimisé les anciennes, supprimé les modules inutiles et globalement amélioré l'outil de piratage pour garantir qu'il reste très puissant.

Mandrake collecte des données sensibles sur les appareils infectés

Le malware Mandrake peut être distribué facilement à des milliers et des milliers d’utilisateurs . Cependant, ses opérateurs n’adoptent pas l’approche du spam massif. Au lieu de cela, ils semblent choisir leurs cibles avec soin. Il n’y a actuellement qu’environ 500 exemplaires actifs. La menace Mandrake peut être classée parmi les logiciels espions, et il semblerait que ses auteurs ne la déploient que sur des cibles surveillées depuis un certain temps.

Si le logiciel espion Mandrake compromet votre appareil Android, il pourra effectuer une grande variété de tâches. La menace Mandrake étant répertoriée comme logiciel espion, son objectif est de collecter des informations importantes auprès des hôtes ciblés. Il est probable que le logiciel espion Mandrake permette à ses opérateurs de mettre la main sur les utilisateurs :

• Identifiants de connexion.

• Liste de contacts.

• Images et vidéos stockées dans leur galerie.

• Information de compte bancaire.

• Détails de paiement.

• Conversations personnelles

Compte tenu du large éventail d’informations collectées par le logiciel espion Mandrake, il est probable que ses opérateurs l’utilisent à la fois pour des opérations de chantage et des campagnes de fraude financière.

Étant donné que chaque utilisateur ciblé semble être abordé différemment par les attaquants, il est probable que les victimes soient sélectionnées avec beaucoup de soin. Il est probable que la campagne Mandrake soit menée par un groupe de cybercriminels hautement qualifiés et très expérimentés qui savent exactement ce qu'ils font. Assurez-vous que votre appareil Android est protégé par une application antivirus authentique et réputée.

Le logiciel malveillant évolué Mandrake Mobile cible les utilisateurs d’Android

Une nouvelle itération du logiciel espion Android très sophistiqué , Mandrake, a été découverte cachée dans cinq applications du Google Play Store. Ce logiciel espion est resté indétectable pendant deux ans.

Infiltration furtive : les applications et leur portée

Les cinq applications infectées ont été téléchargées plus de 32 000 fois avant d'être supprimées du Google Play Store. La majorité de ces téléchargements proviennent de pays tels que le Canada, l'Allemagne, l'Italie, le Mexique, l'Espagne, le Pérou et le Royaume-Uni.

Tactiques d'évasion avancées

Les nouveaux échantillons de Mandrake présentaient des couches avancées de techniques d'obscurcissement et d'évasion :

• • Déplacement de fonctionnalités malveillantes vers des bibliothèques natives obscurcies

• Utilisation de l'épinglage de certificat pour les communications sécurisées de commande et de contrôle (C2)
• Effectuer de nombreux tests pour détecter si le malware s'exécutait sur un appareil rooté ou dans un environnement émulé

Techniques anti-analyse

Les variantes mises à jour de Mandrake utilisaient OLLVM (Obfuscation LLVM) pour dissimuler leur fonctionnalité principale . De plus, ils ont incorporé diverses techniques d’évasion et d’anti-analyse du sandbox pour empêcher la détection par les analystes de logiciels malveillants.

Les applications infectées

Les cinq applications contenant le logiciel espion Mandrake sont :

AirFS (com.airft.ftrnsfr)

Ambre (com. shrp . sght )

Astro Explorer (com.astro.dscvr)

Matrice cérébrale (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

Processus d’infection en plusieurs étapes

Première étape : le compte-gouttes

L'infection initiale commence par un compte-gouttes qui lance un chargeur. Ce chargeur exécute le composant principal du malware après l'avoir téléchargé et déchiffré à partir d'un serveur C2 .

Deuxième étape : collecte d’informations

La charge utile de deuxième étape collecte des informations sur l'appareil, notamment :

• • État de la connectivité

• • Applications installées

• • Pourcentage de batterie

• • Adresse IP externe

• • Version actuelle de Google Play

De plus, il peut effacer le module principal et demander des autorisations pour dessiner des superpositions et s'exécuter en arrière-plan.

Troisième étape : vol d'informations d'identification et plus encore

La troisième étape prend en charge des commandes supplémentaires, telles que :
Chargement d'une URL spécifique dans une WebView

Lancement d'une session de partage d'écran à distance

Enregistrement de l'écran de l'appareil pour voler les informations d'identification et supprimer davantage de logiciels malveillants

Contourner les « Paramètres restreints » d’Android 13

Mandrake utilise un programme d'installation de packages « basé sur une session » pour contourner la fonctionnalité « Paramètres restreints » d'Android 13, qui interdit aux applications téléchargées de demander directement des autorisations non sécurisées.

Conclusion : une menace en constante évolution

Les chercheurs décrivent Mandrake comme une menace en évolution dynamique, affinant continuellement ses techniques pour contourner les mécanismes de défense et échapper à la détection. Cela met en valeur les formidables compétences des acteurs de la menace et souligne la nécessité de contrôler plus strictement les applications avant qu'elles ne soient publiées sur les marchés d'applications officiels.