.
A plataforma de espionagem para Android Mandrake, que iniciou suas atividades em 2016 e foi descoberta pela primeira vez em 2020 pela Bitdefender, está de volta. Ela evoluiu para uma versão mais forte de si mesma que pode escapar das verificações do Google Play, dificultando a detecção. A Kaspersky tropeçou em cinco novos aplicativos com o spyware.
De acordo com a empresa de segurança cibernética, cinco aplicativos que estavam disponíveis no Google Play de 2022 a 2024 continham a nova versão do Malware. Eles foram baixados coletivamente mais de 32.000 vezes, predominantemente por usuários no Canadá, Alemanha, Itália, México, Espanha, Peru e Reino Unido.
Aqui estão os nomes dos aplicativos infectados:
- AirFS – 30.305 instalações
- Astro Explorer – 718 instalações
- Âmbar – 19 instalações
- CryptoPulsing – 790 instalações
- Brain Matrix – 259 instalações
A maioria desses aplicativos permaneceu disponível no Google Play por pelo menos um ano antes de ser removida, com um deles, o AirFS, sendo removido apenas em março de 2024. Até hoje, nenhum dos aplicativos foi sinalizado como malicioso por nenhum provedor de antivírus.
Os aplicativos Mandrake empregavam novas camadas de técnicas de ofuscação para se manterem discretos, como conduzir atividades maliciosas em bibliotecas ofuscadas e usar fixação de certificados para evitar a detecção de rede.
O AirFS, que foi baixado mais vezes, se disfarçava como um aplicativo de compartilhamento de arquivos, mas os usuários reclamaram que ele não funcionava e roubava seus dados.
Mas não é só isso que esses aplicativos são capazes de fazer. O relatório observa que eles podem enviar informações do dispositivo e uma lista de aplicativos instalados para seus mestres, instalar mais aplicativos, alterar ícones e pedir permissão para serem executados em segundo plano.
Assim como as versões anteriores, a nova plataforma Mandrake funciona em três estágios. Ela só tenta infectar vítimas quando um alvo é considerado relevante. Isso é decidido com base na força dos dados.
Depois que um dispositivo é designado como alvo, o malware grava a tela e coleta cookies para roubar credenciais e “baixar e executar aplicativos maliciosos de próximo estágio”, que são os principais motivos do Mandrake.
Para fazer você instalar um novo aplicativo, o Mandrake envia notificações que parecem ter vindo do Google Play. Com o Android 13, o recurso Restricted Settings foi introduzido para evitar que aplicativos carregados lateralmente solicitem permissão perigosa diretamente, mas o Mandrake é capaz de ignorá-lo.
Verifique se há algum dos aplicativos mencionados acima no seu telefone e, se você tiver baixado algum deles, exclua-os imediatamente.
O Google deu a seguinte declaração a Computador bipando sobre os aplicativos:
O Google Play Protect está melhorando continuamente com cada aplicativo identificado. Estamos sempre aprimorando seus recursos, incluindo a próxima detecção de ameaças ao vivo para ajudar a combater técnicas de ofuscação e antievasão. Os usuários do Android são protegidos automaticamente contra versões conhecidas desse malware pelo Google Play Protect, que está ativado por padrão em dispositivos Android com o Google Play Services. O Google Play Protect pode avisar os usuários ou bloquear aplicativos conhecidos por exibir comportamento malicioso, mesmo quando esses aplicativos vêm de fontes fora do Play.
.
