Mandrake, il malware anomalo nascosto in Google Play per anni

Può un malware nascondersi per anni all’interno di Google Play senza essere scoperto? Mandrake, una famiglia di malware attiva in ambiente Android, è risultata attiva per due anni sulla noto store senza che ne fosse rilevata la presenza.

Con questa premessa è facile intuire quale sia il punto di forza di questo agente malevolo, ovvero capacità di offuscamento fuori dalla norma. Come confermato dagli esperti di Bitdefender, le app coinvolte in questa campagna riguardano la condivisione di file, criptovalute e astronomia. A quanto pare, le app coinvolte sono apparse in due distinte ondate: una relativa al biennio 2016-2017 e una nel 2018-2020.

Ma quali sono i segreti che hanno permesso a Mandrake di sopravvivere per due anni senza essere rilevato? In realtà vi sono diverse accortezze adottate dai cybercriminali. In primis, il malware non funziona in 90 paesi. Le vittime sono inoltre selezionate in modo mirato e le app che fungono da esca sono dotate di un particolare sistema kill switch che, una volta attivato, permette di cancellare qualunque traccia del malware.

Le tecniche di Mandrake che hanno permesso al malware di sopravvivere a lungo su Google Play

Se nel 2020 Bitdefender aveva notato come Mandrake sembrasse a fine ciclo, in realtà l’agente malevolo non è mai scomparso del tutto.

Grazie alle segnalazioni di Kaspersky, alcune app che contenevano questo agente malevolo sono riapparse nel 2022 anche se ignorate da tutti per i due anni seguenti. Questo perché Mandrake è stato migliorato dai suoi creatori, con diverse misure adottate per aumentare le capacità d’offuscamento ed evitare le analisi da ambiente sandbox. Queste tecniche, tra le altre cose, hanno anche permesso al malware di aggirare i controlli di Google Play e operare indisturbato.

L’obiettivo principale di Mandrake rubare le credenziali alle ignare vittime oltre a scaricare ulteriori app dannose sul dispositivo preso di mira. Va comunque sottolineato, ancora una volta, come il malware sia alquanto selettivo e non punti sui “grandi numeri”. Le vittime sono poche, ma appositamente scelte: una pratica che contribuisce a rendere questo agente malevolo così sfuggente.