Punti chiave
Una campagna di hacking e spionaggio gestita con cura sta infettando gli smartphone con una potente forma di malware Android, fornendo a coloro lo gestiscono un controllo totale del dispositivo, pur rimanendo completamente nascosti all’utente.
La storia di Mandrake
Lo spyware Mandrake abusa delle legittime funzioni Android per aiutare ad accedere a tutto il dispositivo compromesso con attacchi che possono raccogliere quasi tutte le informazioni sull’utente.
L’aggressore può navigare e raccogliere tutti i dati sul dispositivo, rubare le credenziali dell’account, comprese le applicazioni bancarie. Rileva segretamente registrazioni di attività sullo schermo, segue la posizione GPS dell’utente e altro ancora, il tutto coprendo continuamente le proprie tracce.
Le piene capacità di Mandrake – che è risultata attiva per gli utenti di tutta Europa e delle Americhe – sono descritte in un documento dai ricercatori sulla sicurezza informatica di Bitdefender. Mandrake è attivo dal 2016 e in precedenza i ricercatori hanno spiegato in dettaglio come l’operazione spyware mirava specificamente agli utenti australiani, ma ora si rivolge a tutto il mondo.
“L’obiettivo finale di Mandrake è il controllo completo del dispositivo, nonché la compromissione dell’account. Questo è uno dei pezzi più potenti di malware Android che abbiamo visto fino ad ora“, ha detto Bogdan Botezatu, direttore della ricerca sulle minacce di Bitdefender.
Non è chiaro esattamente quanto siano diffuse le infezioni, ma il malware non viene espulso come le altre volte: gli aggressori sembrano raccogliere con cura le loro vittime e una volta che un obiettivo analizzato viene compromesso, controlleranno manualmente le azioni di Mandrake al fine di manipolare il maggior numero possibile di informazioni all’utente.
“Stimiamo il numero di vittime nelle decine di migliaia per l’attuale ondata, e probabilmente centinaia di migliaia per l’intero periodo di quattro anni“, ha detto la società.
E quando gli aggressori hanno acquisito tutte le informazioni che desiderano dalla vittima, Mandrake ha un kill-switch che cancella il malware dal dispositivo.
Gli operatori di Mandrake si sono impegnati seriamente per assicurarsi che rimanesse nascosto nel corso degli anni, arrivando persino a sviluppare, caricare e mantenere diverse applicazioni su Google Play Store, sotto il nome di diversi sviluppatori. Alcuni di questi sono stati progettati per colpire paesi specifici. Le app sono state rimosse.
Per rendere felici gli utenti, le app erano per lo più prive di pubblicità e gli aggiornamenti venivano regolarmente consegnati. Alcune app avevano persino pagine di social media, tutte progettate per convincere gli utenti a scaricarle e fidarsi di loro.
Il malware evita il rilevamento da parte di Google Play utilizzando un processo in più fasi per nascondere il payload. L’app viene installata sul telefono e contatta quindi il server per scaricare un particolare codice, che fornisce quindi le funzionalità aggiuntive necessarie a Mandrake per assumere il controllo del dispositivo.
“Il malware opera in più fasi, con la prima fase che è un’app benigna senza comportamenti dannosi, oltre alla possibilità di scaricare e installare un payload in seconda fase quando espressamente diretto a farlo.“, ha spiegato Botezatu.
Il malware induce l’utente a fornirgli ulteriori privilegi sul dispositivo.
“Quello che sembra essere un processo semplice come passare attraverso un Accordo di licenza per l’utente finale e accettarlo, è in realtà tradotto dietro le quinte in richiesta e concessione di autorizzazioni estremamente potenti. Con tali autorizzazioni, il malware ottiene il controllo completo del dispositivo e dei dati su di esso” ha spiegato Botezatu.
Sebbene non sia ancora chiaro chi sia esattamente preso di mira da Mandrake e perché, gli attaccanti sono consapevoli che se spingono la loro azione troppo lontano sarà più probabile che vengano scoperti.
Non sappiamo chi gestisce l’operazione cyber-criminale dietro Mandrake, ma il malware evita specificamente l’esecuzione su dispositivi negli ex paesi dell’Unione Sovietica, Africa e Medio Oriente. I ricercatori osservano che alcuni dei primi paesi resi esenti dagli attacchi di Mandrake furono Ucraina, Bielorussia, Kirghizistan e Uzbekistan.
È probabile che la campagna Mandrake sia ancora operativa ed è probabilmente solo una questione di tempo prima che coloro che stanno dietro tentino di distribuire nuove applicazioni per eliminare il malware.
Per evitare di cadere vittima di una simile campagna, gli utenti dovrebbero essere sicuri di avere fiducia e conoscere la società che ha sviluppato l’applicazione, a volte potrebbe essere meglio evitare di scaricare app da nuove fonti, anche se si trovano nello store di download ufficiale.
Manipolazione dell’utente
Una delle parti più interessanti del malware è il modo in cui viste, layout, display e componenti visivi disegnati con cura distorcono il flusso dell’applicazione per indurre l’utente a concedere autorizzazioni pericolose all’app. Il metodo funziona modificando le aree dello schermo per cambiare ciò che l’utente vede, inducendo in tal modo ad abilitare ulteriori autorizzazioni quando toccano determinate aree.
Verranno visualizzate parti personalizzate di un EULA falso. Quando gli utenti tentano di continuare a leggere o uscire, premeranno un pulsante di dialogo “Accetta” in background che concede a Mandrake tutti i privilegi richiesti. Mandrake presta anche attenzione ai dettagli e può gestire circostanze speciali. Tali circostanze speciali sono situazioni in cui la lingua del telefono della vittima è impostata su francese o spagnolo, il dispositivo è un tablet, il dispositivo esegue variazioni delle versioni di Android o il produttore di telefoni cellulari è Samsung. Se si verificano tali circostanze, il malware decide dove disegnare la vista per non distogliere lo sguardo e destare sospetti dell’utente.
Persistenza nel sistema
Mandrake sfrutta i privilegi chiave offerti dal sistema operativo Android per mantenere un punto d’appoggio sul dispositivo. Utilizzando il privilegio di amministratore del dispositivo, si garantisce che non possa essere disinstallato fino a quando questo privilegio non viene rimosso. Il servizio di accessibilità consente di impedire alla vittima di rimuovere l’amministratore del dispositivo o il privilegio di accessibilità. Questo lascia alla vittima un solo modo possibile per rimuovere la minaccia, sebbene sia estremamente complicato per l’utente medio: avviare il dispositivo in modalità provvisoria, rimuovere il privilegio di amministratore del dispositivo e disinstallarlo manualmente.
Le applicazioni infette
Dentro Google Play i dropper sono applicazioni progettate per apparire il più pulite possibile. Come componenti, sono stati introdotti per ultimi nella pipeline di sviluppo. Tutti i componenti del dropper erano a un certo punto ospitati su Google Play. Tutte sono applicazioni autonome, perfettamente funzionanti e adatte a una vasta gamma di gruppi di applicazioni: finanza, auto e veicoli, lettori e redattori video, arte e design e produttività.
Applicazioni e sviluppatori
- Office Scanner di ArmDev.
- Abfix di SigmaTech
- Currency XE Converter di Christopher Bankson
- CoinCast di CoinCast©
- SnapTune di Vid FontS
- Horoskope di SigmaTech
- Car News di SigmaTech
