Les experts de Kaspersky ont découvert cinq applications Mandrake sur Google Play, disponibles sur la plateforme pendant deux ans et téléchargées plus de 32 000 fois. Les échantillons les plus récents intègrent des techniques d’offuscation et d’évasion avancées, permettant aux malwares de ne pas être détectés par les solutions antivirus.
Identifié pour la première fois en 2020, le logiciel espion Mandrake est une plateforme d’espionnage Android sophistiquée, active depuis au moins 2016. En avril 2024, les chercheurs de Kaspersky ont découvert un échantillon suspect, indiquant l’existence d’une nouvelle version de Mandrake avec des fonctionnalités améliorées. Ces nouveaux échantillons présentent des techniques d’offuscation et d’évasion avancées, comme le transfert des fonctions malveillantes vers des bibliothèques natives offusquées à l’aide d’OLLVM, la mise en oeuvre de l’épinglage des certificats pour une communication sécurisée avec les serveurs de commande et de contrôle (C2), et la conduite de vérifications approfondies pour détecter si Mandrake fonctionne sur un appareil rooté ou au sein d’un environnement émulé.
La principale caractéristique de la nouvelle variante de Mandrake est l’ajout de techniques de brouillage avancées, conçues pour déjouer les vérifications de sécurité de Google Play et empêcher l’analyse. Les experts de la société ont identifié cinq applications utilisant le logiciel espion Mandrake, téléchargées plus de 32 000 fois au total. Ces applications, toutes publiées sur Google Play en 2022, étaient disponibles au téléchargement depuis au moins un an. Elles se présentaient comme des applications légitimes de partage de fichiers via Wi-Fi, une application de services d’astronomie, un jeu Genshin Impact, une application de crypto-monnaie et une application de casse-têtes. En juillet 2024, aucune de ces applications n’avait été détectée comme étant un malware, selon VirusTotal.
Si ces applications malveillantes ne sont aujourd’hui plus disponibles sur Google Play, elles l’ont été dans un grand nombre de pays, notamment au Canada, en Allemagne, en Italie, au Mexique, en Espagne, au Pérou et au Royaume-Uni. Au vu des ressemblances entre la campagne en cours et la précédente, impliquant des domaines C2 enregistrés en Russie, il est probable que l’acteur de la menace soit le même que celui mentionné dans le premier rapport de détection de Bitdefender.
« Après avoir échappé à la détection pendant quatre ans dans ses versions initiales, la dernière campagne Mandrake est restée indétectable sur Google Play pendant deux années supplémentaires. Cela témoigne des compétences avancées des acteurs de la menace impliqués et met également en lumière une tendance inquiétante : à mesure que les restrictions se renforcent et que les contrôles de sécurité deviennent plus stricts, la complexité des menaces qui pénètrent dans les applications officielles s’accroît, ce qui les rend plus difficiles à détecter, » commente Tatyana Shishkova, chercheuse principale en sécurité au GReAT de Kaspersky.