“Mandrake”, zo noemde Bitdefender een nieuwe soort Android-spyware in 2020. Destijds hield het al vier jaar lang onopgemerkt huis. Een nieuwe Mandrake-variant is nu opgespoord door Kaspersky, twee jaar nadat het zich begon te verspreiden.
In totaal is de malafide software 32.000 keer gedownload. De enige boosdoener met een grote impact was AirFS, een app die enkel Wi-Fi-filesharing mogelijk leek te maken. Feitelijk was de app uitgekiende spyware met nieuwe kledinglagen ter vermomming. Zo verstopte de payload zich binnen conventionele native libraries. Het installeren van dergelijke libraries wordt ook door legitieme Android-apps gedaan, waardoor het niet opvalt als er een nieuwe wordt toegevoegd.
Vervolgens ontsleutelt deze library een tweede fase, een DEX-loader die in het geheugen wordt geladen. Minder geavanceerde malware-varianten zouden direct deze stap ondernemen, maar dat valt security-analisten snel op. Via een tweede native library genaamd “libopencv_java3.so” communiceert de spyware met een command-and-control (C2) server.
Oplichting zet voort
Zodra de installatie is voltooid, misleiden de cybercriminelen achter Mandrake hun slachtoffers meermaals. Neppe Play Store-meldingen sporen gebruikers aan om nieuwe bestanden te downloaden: dit zijn nieuwe malafide APK’s voor extra schade, hoewel het onduidelijk is wat deze APK’s uithaalden. Het kan dat de cybercriminelen dit toegangspad tot telefoons wilden verhandelen aan mede-aanvallers.
De Mandrake-spyware herkent eveneens of de Frida-toolkit aanwezig is op het Android-toestel. Dat is een oplossing die veel door security-specialisten wordt ingezet om kwaadaardig gedrag op te sporen. Andere controles van Mandrake garanderen dat de Android-telefoon in kwestie een geschikt doelwit is met alle vereiste permissies. Zodra de gebruiker de app goedkeuring geeft om in de achtergrond te draaien, hebben de aanvallers hun infiltratie voltooid.
Impact had veel groter kunnen zijn
De AirFS-app was de enige ietwat succesvolle app met 30.305 downloads. Inmiddels is het, net als de vier andere applicaties die golden als Mandrake-vervoer, van de Google Play Store verwijderd. Het listige aan AirFS was dat het tientallen reviews had en met 2,9 sterren competent genoeg leek om niet op te vallen. Voor vrij basale functionaliteit als filesharing via Wi-Fi is het voor de hand liggend dat een gebruiker niet al te lang nadenkt over de specifieke app. Een middelmatige rating schrikt dan ook niet af, hoewel het daardoor relatief laag in de zoekresultaten verschijnt.
Tegenover BleepingComputer laat Google weten continu Play Protect, het defensiemechanisme tegen malafide apps, te verbeteren. Toch komt het net zo regelmatig voor dat er apps voorbij deze linie komen. De diverse aard van het Android-ecosysteem lijkt het onmogelijk te maken om kwaadaardig gedrag van apps in te dammen. Gebruikers die nietsvermoedend inmiddels opgespoorde malware draaien, krijgen een melding van Google, laat het bedrijf weten. Het vervelende is dat ook cybercriminelen pretenderen Google te zijn met geloofwaardige pushmeldingen, een fenomeen dat vooralsnog niet uitgeroeid kan worden.
Lees ook: Miljoenen telefoons al in de verpakking geïnfecteerd door malware