Kaspersky-Experten haben eine neue Spyware-Kampagne entdeckt, die die Malware ‚Mandrake‘ in Google Play verbreitet. Die Malware tarnt sich als legitime Apps für Kryptowährungen, Astronomie oder Utility Tools. Fünf der von Kaspersky gefundenen Apps sind bereits seit zwei Jahren in Google Play verfügbar und wurden mehr als 32.000 Mal heruntergeladen; durch fortgeschrittene Verschleierungs- und Umgehungstechniken umgeht Mandrake einer Entdeckung durch Sicherheitsanbieter.
Bei Mandrake handelt es sich um eine fortgeschrittene Spionage-Plattform für Android, die zum ersten Mal im Jahr 2020 identifiziert wurde und bereits seit mindestens 2016 aktiv ist. Im April 2024 untersuchten Kaspersky-Experten ein verdächtiges Sample, bei dem Mandrake neue Funktionalitäten aufwies. Ihr Hauptunterscheidungsmerkmal zur früheren Kampagne: erweiterte Verschleierungs- und Umgehungstechniken, darunter:
- schädliche Funktionen mit OLLVM in systemeigene Libraries verschieben,
- Certificate Pinning für die sichere Kommunikation mit C2-Servern (Command-and-Control) einsetzen sowie
- überprüfen, ob Mandrake auf einem gerooteten Gerät oder innerhalb einer virtuellen Umgebung operiert.
Laut VirusTotal wurde bis Juli 2024 keine der Apps von Sicherheitsanbietern als Malware erkannt. Mandrake tarnte sich im Google Play Store als Apps zum Filesharing über WLAN, für astronomische Dienstleistungen, Kryptowährung und Logikpuzzles sowie als Game zum Charakter „Amber“ aus dem RPG „Genshin Impact“. Neben Deutschland stammen die meisten der über 32.000 Downloads aus Kanada, Italien, Mexiko, Spanien, Peru und dem Vereinigten Königreich; die Apps sind nicht länger in Google Play verfügbar.
Aufgrund ihrer Ähnlichkeit zu früheren in Russland registrierten C2-Kampagnen gehen die Experten von Kaspersky davon aus, dass es sich hierbei mit hoher Wahrscheinlichkeit um denselben Bedrohungsakteur wie im Erkennungsreport von Bitdefender aus dem Jahr 2016 handelt.
„Nachdem sie in ihrer Ursprungsform vier Jahre lang einer Entdeckung entgangen war, blieb auch die aktuelle Mandrake-Kampagne im Google Play Store zwei Jahre unentdeckt. Dies zeigt die fortgeschrittenen Fähigkeiten des Bedrohungsakteurs hinter der Malware“, kommentiert Tatyana Shishkova, Lead Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky. „Sie zeigt einen besorgniserregenden Trend: Angesichts sich verschärfender Vorgaben und Sicherheitskontrollen werden Bedrohungen, die versuchen, in offizielle Appstores einzudringen, immer ausgeklügelter und dadurch schwieriger zu entdecken.“
Kaspersky-Empfehlungen zum Schutz vor Spyware
- Apps und Software nur aus offiziellen Stores herunterladen, auch wenn diese keinen vollständigen Schutz garantieren. Stores von Drittanbietern, die mit höherer Wahrscheinlichkeit schädliche oder kompromittierte Apps anbieten, meiden. Vor dem Download stets die Kommentare und Bewertungen prüfen.
- Zuverlässige Antiviren und -Malware-Software – wie Kaspersky Premium, das vor bekannten und unbekannten Bedrohungen schützt – installieren und aktualisieren sowie alle Geräte regelmäßig auf potentielle Bedrohungen überprüfen.
- Sich regelmäßig über aktuelle Bedrohungen, Taktiken und Techniken von Cyberkriminellen informieren. Vorsicht bei unerwarteten Anfragen, verdächtigen Angeboten oder dringenden Forderungen nach persönlichen oder finanziellen Informationen.
Weitere Informationen zur Mandrake-Kampagne sind hier verfügbar.
(vp/Kaspersky)