Spionage-Kampagne seit mindestens 2016 aktiv
Spyware aus Google Play über 32.000 Mal heruntergeladen
Mandrake tarnte sich unter anderem als Apps für Kryptowährungen, Astronomie und Utility Tools -Nutzer aus Deutschland betroffen
Kaspersky-Experten haben eine neue Spyware-Kampagne entdeckt, die die Malware ‚Mandrake‘ in Google Play verbreitet. Die Malware tarnt sich als legitime Apps für Kryptowährungen, Astronomie oder Utility-Tools. Fünf der von Kaspersky gefundenen Apps sind bereits seit zwei Jahren in Google Play verfügbar und wurden mehr als 32.000 Mal heruntergeladen; durch fortgeschrittene Verschleierungs- und Umgehungstechniken umgeht Mandrake einer Entdeckung durch Sicherheitsanbieter.
Bei Mandrake handelt es sich um eine fortgeschrittene Spionage-Plattform für Android, die zum ersten Mal im Jahr 2020 identifiziert wurde und bereits seit mindestens 2016 aktiv ist. Im April 2024 untersuchten Kaspersky-Experten ein verdächtiges Sample, bei dem Mandrake neue Funktionalitäten aufwies. Ihr Hauptunterscheidungsmerkmal zur früheren Kampagne: erweiterte Verschleierungs- und Umgehungstechniken, darunter:
>> schädliche Funktionen mit OLLVM in systemeigene Libraries verschieben,
>> Certificate Pinning für die sichere Kommunikation mit C2-Servern (Command-and-Control) einsetzen sowie
>> überprüfen, ob Mandrake auf einem gerooteten Gerät oder innerhalb einer virtuellen Umgebung operiert.
Laut VirusTotal wurde bis Juli 2024 keine der Apps von Sicherheitsanbietern als Malware erkannt. Mandrake tarnte sich im Google Play Store als Apps zum Filesharing über WLAN, für astronomische Dienstleistungen, Kryptowährung und Logikpuzzles sowie als Game zum Charakter "Amber" aus dem RPG "Genshin Impact". Neben Deutschland stammen die meisten der über 32.000 Downloads aus Kanada, Italien, Mexiko, Spanien, Peru und dem Vereinigten Königreich; die Apps sind nicht länger in Google Play verfügbar.
Aufgrund ihrer Ähnlichkeit zu früheren in Russland registrierten C2-Kampagnen gehen die Experten von Kaspersky davon aus, dass es sich hierbei mit hoher Wahrscheinlichkeit um denselben Bedrohungsakteur wie im Erkennungsreport von Bitdefender aus dem Jahr 2016 handelt [2].
"Nachdem sie in ihrer Ursprungsform vier Jahre lang einer Entdeckung entgangen war, blieb auch die aktuelle Mandrake-Kampagne im Google Play Store zwei Jahre unentdeckt. Dies zeigt die fortgeschrittenen Fähigkeiten des Bedrohungsakteurs hinter der Malware", kommentiert Tatyana Shishkova, Lead Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky. "Sie zeigt einen besorgniserregenden Trend: Angesichts sich verschärfender Vorgaben und Sicherheitskontrollen werden Bedrohungen, die versuchen, in offizielle Appstores einzudringen, immer ausgeklügelter und dadurch schwieriger zu entdecken." (Kaspersky Lab: ra)
eingetragen: 13.08.24
Newsletterlauf: 10.10.24
Kaspersky Lab: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.