Punti chiave
Una campagna di hacking e spionaggio gestita con cura sta infettando gli smartphone con una potente forma di malware Android, fornendo a coloro lo gestiscono un controllo totale del dispositivo, pur rimanendo completamente nascosti all’utente.
La storia di Mandrake
Lo spyware Mandrake abusa delle legittime funzioni Android per aiutare ad accedere a tutto il dispositivo compromesso con attacchi che possono raccogliere quasi tutte le informazioni sull’utente.
L’aggressore puรฒ navigare e raccogliere tutti i dati sul dispositivo, rubare le credenziali dell’account, comprese le applicazioni bancarie. Rileva segretamente registrazioni di attivitร sullo schermo, segue la posizione GPS dell’utente e altro ancora, il tutto coprendo continuamente le proprie tracce.
Le piene capacitร di Mandrake – che รจ risultata attiva per gli utenti di tutta Europa e delle Americhe – sono descritte in un documento dai ricercatori sulla sicurezza informatica di Bitdefender. Mandrake รจ attivo dal 2016 e in precedenza i ricercatori hanno spiegato in dettaglio come l’operazione spyware mirava specificamente agli utenti australiani, ma ora si rivolge a tutto il mondo.
“L’obiettivo finale di Mandrake รจ il controllo completo del dispositivo, nonchรฉ la compromissione dell’account. Questo รจ uno dei pezzi piรน potenti di malware Android che abbiamo visto fino ad ora“, ha detto Bogdan Botezatu, direttore della ricerca sulle minacce di Bitdefender.
Non รจ chiaro esattamente quanto siano diffuse le infezioni, ma il malware non viene espulso come le altre volte: gli aggressori sembrano raccogliere con cura le loro vittime e una volta che un obiettivo analizzato viene compromesso, controlleranno manualmente le azioni di Mandrake al fine di manipolare il maggior numero possibile di informazioni all’utente.
“Stimiamo il numero di vittime nelle decine di migliaia per l’attuale ondata, e probabilmente centinaia di migliaia per l’intero periodo di quattro anni“, ha detto la societร .
E quando gli aggressori hanno acquisito tutte le informazioni che desiderano dalla vittima, Mandrake ha un kill-switch che cancella il malware dal dispositivo.
Gli operatori di Mandrake si sono impegnati seriamente per assicurarsi che rimanesse nascosto nel corso degli anni, arrivando persino a sviluppare, caricare e mantenere diverse applicazioni su Google Play Store, sotto il nome di diversi sviluppatori. Alcuni di questi sono stati progettati per colpire paesi specifici. Le app sono state rimosse.
Per rendere felici gli utenti, le app erano per lo piรน prive di pubblicitร e gli aggiornamenti venivano regolarmente consegnati. Alcune app avevano persino pagine di social media, tutte progettate per convincere gli utenti a scaricarle e fidarsi di loro.
Il malware evita il rilevamento da parte di Google Play utilizzando un processo in piรน fasi per nascondere il payload. L’app viene installata sul telefono e contatta quindi il server per scaricare un particolare codice, che fornisce quindi le funzionalitร aggiuntive necessarie a Mandrake per assumere il controllo del dispositivo.
“Il malware opera in piรน fasi, con la prima fase che รจ un’app benigna senza comportamenti dannosi, oltre alla possibilitร di scaricare e installare un payload in seconda fase quando espressamente diretto a farlo.“, ha spiegato Botezatu.
Il malware induce l’utente a fornirgli ulteriori privilegi sul dispositivo.
“Quello che sembra essere un processo semplice come passare attraverso un Accordo di licenza per l’utente finale e accettarlo, รจ in realtร tradotto dietro le quinte in richiesta e concessione di autorizzazioni estremamente potenti. Con tali autorizzazioni, il malware ottiene il controllo completo del dispositivo e dei dati su di esso” ha spiegato Botezatu.
Sebbene non sia ancora chiaro chi sia esattamente preso di mira da Mandrake e perchรฉ, gli attaccanti sono consapevoli che se spingono la loro azione troppo lontano sarร piรน probabile che vengano scoperti.
Non sappiamo chi gestisce l’operazione cyber-criminale dietro Mandrake, ma il malware evita specificamente l’esecuzione su dispositivi negli ex paesi dell’Unione Sovietica, Africa e Medio Oriente. I ricercatori osservano che alcuni dei primi paesi resi esenti dagli attacchi di Mandrake furono Ucraina, Bielorussia, Kirghizistan e Uzbekistan.
ร probabile che la campagna Mandrake sia ancora operativa ed รจ probabilmente solo una questione di tempo prima che coloro che stanno dietro tentino di distribuire nuove applicazioni per eliminare il malware.
Per evitare di cadere vittima di una simile campagna, gli utenti dovrebbero essere sicuri di avere fiducia e conoscere la societร che ha sviluppato l’applicazione, a volte potrebbe essere meglio evitare di scaricare app da nuove fonti, anche se si trovano nello store di download ufficiale.
Manipolazione dell’utente
Una delle parti piรน interessanti del malware รจ il modo in cui viste, layout, display e componenti visivi disegnati con cura distorcono il flusso dell’applicazione per indurre l’utente a concedere autorizzazioni pericolose all’app. Il metodo funziona modificando le aree dello schermo per cambiare ciรฒ che l’utente vede, inducendo in tal modo ad abilitare ulteriori autorizzazioni quando toccano determinate aree.
Verranno visualizzate parti personalizzate di un EULA falso. Quando gli utenti tentano di continuare a leggere o uscire, premeranno un pulsante di dialogo “Accetta” in background che concede a Mandrake tutti i privilegi richiesti. Mandrake presta anche attenzione ai dettagli e puรฒ gestire circostanze speciali. Tali circostanze speciali sono situazioni in cui la lingua del telefono della vittima รจ impostata su francese o spagnolo, il dispositivo รจ un tablet, il dispositivo esegue variazioni delle versioni di Android o il produttore di telefoni cellulari รจ Samsung. Se si verificano tali circostanze, il malware decide dove disegnare la vista per non distogliere lo sguardo e destare sospetti dell’utente.
Persistenza nel sistema
Mandrake sfrutta i privilegi chiave offerti dal sistema operativo Android per mantenere un punto d’appoggio sul dispositivo. Utilizzando il privilegio di amministratore del dispositivo, si garantisce che non possa essere disinstallato fino a quando questo privilegio non viene rimosso. Il servizio di accessibilitร consente di impedire alla vittima di rimuovere l’amministratore del dispositivo o il privilegio di accessibilitร . Questo lascia alla vittima un solo modo possibile per rimuovere la minaccia, sebbene sia estremamente complicato per l’utente medio: avviare il dispositivo in modalitร provvisoria, rimuovere il privilegio di amministratore del dispositivo e disinstallarlo manualmente.
Le applicazioni infette
Dentro Google Play i dropper sono applicazioni progettate per apparire il piรน pulite possibile. Come componenti, sono stati introdotti per ultimi nella pipeline di sviluppo. Tutti i componenti del dropper erano a un certo punto ospitati su Google Play. Tutte sono applicazioni autonome, perfettamente funzionanti e adatte a una vasta gamma di gruppi di applicazioni: finanza, auto e veicoli, lettori e redattori video, arte e design e produttivitร .
Applicazioni e sviluppatori
- Office Scanner di ArmDev.
- Abfix di SigmaTech
- Currency XE Converter di Christopher Bankson
- CoinCast di CoinCastยฉ
- SnapTune di Vid FontS
- Horoskope di SigmaTech
- Car News di SigmaTech
