Er is nieuwe malware gevonden die zich stiekem al jaren schuilhoudt in de Google Play Store. Het is een bijzonder opgebouwde malware, waardoor het niet eerder gedetecteerd werd. De naam is Mandrake en het hangt al twee jaar spionerend rond in de Play Store.
Mandrake
Mandrake is niet makkelijk te vangen: het bestaat niet uit één app die Google er zo even af kan halen. Het is een hele familie aan apps. Het verschuilt zich in astronomie-, bestandsdeel- en cryptovaluta-apps. Bitdefender had ze al een tijdje in de smiezen, want het waarschuwde hier al voor in 2020, maar toch kon Mandrake blijven toeslaan. Dat komt omdat de mensen achter deze malware heel slim te werk gingen.
Zo zorgden ze dat het in veel landen juist niet werkte en had het heel specifieke slachtoffers in gedachten. Daarnaast was er een kill switch ingesteld, dus ze konden in één keer alle malware verwijderen zodat er geen spoortje te vinden was. Daarnaast fikste het wel bugs die in de schuilsoftware werd gevonden en had het verschillende eigenschappen waardoor het heel echt en goed leek. Van 2018 tot 2020 werd al verwacht dat er tienduizenden slachtoffers zijn gevallen.
Kaspersky
Van 2020 tot 2022 hebben de makers van de malware zich even gedeisd gehouden. Alle apps waren offline en het was stil, tot er in 2022 weer apps verschenen die helaas tot nu onopgemerkt bleven. Mandrake is in de tussentijd nog slimmer geworden, waardoor de apps nog moeilijker detecteerbaar zijn. Kaspersky-onderzoekers schrijven dat het allerlei bekende manieren om te checken of iets malware is weet te omzeilen.
“Nadat de applicaties van de eerste campagne vier jaar lang onontdekt bleven, bleef de huidige campagne twee jaar lang in de schaduw, terwijl ze nog steeds beschikbaar waren voor download op Google Play. Dit benadrukt de formidabele vaardigheden van de bedreigingsactoren en ook dat strengere controles op applicaties voordat ze op de markt worden gebracht, er alleen maar toe leiden dat geavanceerdere, moeilijker te detecteren bedreigingen de officiële app-marktplaatsen binnensluipen.”
Malware
Maar hoe kan het toch dat zowel Google het niet heeft ontdekt als malware-software die hier specifiek op geënt is? Dat komt onder andere door het verplaatsen van kwaadaardige functionaliteit naar native bibliotheken, die worden verduisterd. Heel technisch gesproken sloeg Mandrake de kwaadaardige code op in een DEX-bestand, maar heeft het dat verandert naar een minder makkelijk detecteerbare plek, namelijk een native bibliotheek. Die bibliotheken staan erom bekend moeilijk te inspecteren te zijn. Door de bieb ook nog achter andere software te verschuilen, konden experts het helemaal moeilijk vinden.
Het doel van de internetcriminelen is om de inloggegevens van gebruikers te stelen en meer malware te downloaden om meer schade aan te richten. Het systeem Mandrake is zo gebouwd dat het een seintje krijgt wanneer iemand een start_v command begint, waarna de malware het overneemt en de URL in een webview toont met een andere interface, waardoor je denkt in te loggen op iets bekends, maar dat dus niet het geval is. Er worden steeds screenshots gemaakt van wat je doet en zo kunnen de hackers je informatie ontdekken.
Astro Explorer
Wat ze er uiteindelijk mee willen is niet geheel duidelijk, maar wel hebben ze specifieke typen mensen als doelwit. Google heeft de apps waarvan men weet dat ze Mandrake zijn inmiddels uit de Play Store gehaald. Voor de volledigheid, dit zijn de kwaadwillende apps: AirFS, Astro Explorer, Amber, CryptoPulsing en Brain Matrix.
Ben jij deze apps wel eens tegengekomen? Deel het in de reacties.
Reacties
Inloggen of registreren
om een reactie achter te laten
Inderdaad kan er niet genoeg gewaarrschuwd worden voor de rotzooi en ellende die via de Playstore wordt verspreid. Niet alleen verwijderen uit de Playstore, maar ook aangifte doen. Gevangenisstraf van 10 jaar in Albanië. Optiefen met die invasueve exoten met drek.
Internet lijkt op een groot open riool met drek.
Interessant artikel. Dank je wel.