Advertentie
Dat malware een serieus probleem is, zal niemand ontkennen, maar toch is het bepaalde groepen gelukt om jarenlang malware te verstoppen in de Google Play Store zonder dat iemand het doorhad. Mandrake, een familie van zeer 'sneaky' malware, is niet geheel nieuw. Beveiligingsbedrijf Bitdefender had er in 2020 al een uitgebreid onderzoek naar gedaan, waarbij bleek dat de malware actief was in golven: van 2016 tot 2017 en van 2018 tot 2020.
Mandrake is zeer effectief in het onder de radar blijven en deed dit door een aantal stappen te ondernemen. Zo werkte de malware niet in 90 landen, inclusief alle landen die vroeger de Sovjet-Unie vormden. Haar finale payload was alleen gericht op zeer specifieke slachtoffers. De malware had een killswitch genaamd 'seppuku', waardoor alle sporen van de malware verwijderd zouden worden. Een aantal decoy-apps in de categorieën financiën, auto's, videospelers en editors, kunst & design en productiviteitsapps werden gebruikt om de malware te verhullen. Snelle bugfixes en TLS-beveiliging werden toegepast om communicatie tussen command- en control-servers te verbergen.
Na het rapport van Bitdefender verdween Mandrake uit de Play Store. In de vier jaar dat de malware actief was, heeft deze zeker honderden duizenden slachtoffers gemaakt. Nu heeft beveiligingsbedrijf Kaspersky ontdekt dat de malware in 2022 weer actief is geworden. De malware was toen nog beter geworden in het verbergen van haar sporen, door 'sandboxes' te omzeilen en ook Google's eigen beveiligingscontroles te omzeilen. Dit deed de malware door meerdere lagen toe te passen om de code te verbergen. Apps die in 2022 ontdekt zijn, zijn minimaal een jaar actief geweest in de Play Store.
Een manier waarop Mandrake zijn gevaarlijke functionaliteit verborg, was door de code te plaatsen in bibliotheekbestanden. Oudere versies hadden de code in de applicatie's DEX-bestand, wat makkelijker was om gevaarlijke code uit te filteren. Dit werd gedaan met behulp van de OLLVM-obfuscator, waardoor Mandrake-apps nog beter verborgen bleven.
Het hoofddoel van Mandrake was om inloggegevens van gebruikers te stelen en daarna extra malware te downloaden naar het toestel van het slachtoffer. Het laatste werd echter maar bij een heel klein percentage slachtoffers toegepast. De methode waarmee de malware dit deed, was door het opnemen van hoe het slachtoffer de beveiligingscode van het toestel invoerde. Beide beveiligingsbedrijven konden niet aangeven welke groep precies achter de spyware zit die zo geavanceerd is als Mandrake, of wat het doel hierachter precies was. Google heeft de apps inmiddels verwijderd uit de Play Store. Het zou gaan om de apps AirFS, Astro Explorer, Amber, CryptoPulsing en Brain Matrix. Je kunt dit nakijken in een artikel van Ars Technica.