Lo spyware che minacia il Play Store

I ricercatori di Kaspersky hanno identificato una nuova campagna di spyware che diffonde il malware Mandrake attraverso Google Play, camuffato da applicazioni legittime legate a criptovalute, astronomia e strumenti di utility. Cinque applicazioni infette sono state scaricate oltre 32.000 volte. Mandrake, scoperto nel 2020 ma attivo dal 2016, ha recentemente mostrato una nuova versione con funzionalità avanzate di offuscamento e evasione, tra cui lo spostamento delle funzioni dannose in librerie native e il pinning dei certificati per la comunicazione sicura con i server C2. Nonostante le applicazioni non siano più presenti su Google Play, sono state scaricate principalmente in Canada, Germania, Italia, Messico, Spagna, Perù e Regno Unito.
Le applicazioni si presentavano come app per la condivisione di file via Wi-Fi, servizi di astronomia, un gioco chiamato Amber for Genshin, un’app per le criptovalute e un’app per puzzle di logica. A luglio 2024, secondo VirusTotal, nessuna di queste applicazioni era stata rilevata come malware da alcun fornitore.

Questa campagna evidenzia la crescente sofisticazione delle minacce e le sfide crescenti nel rilevarle negli app store ufficiali.

“Dopo aver eluso il rilevamento per quattro anni nelle sue versioni iniziali, l’ultima campagna Mandrake è passata inosservata su Google Play per altri due anni. Questo dimostra le competenze avanzate degli attori delle minacce coinvolti. Inoltre, evidenzia una tendenza preoccupante: con l’inasprimento delle restrizioni e l’aumento dei controlli di sicurezza, cresce il livello di sofisticazione delle minacce che riescono a infiltrarsi negli app store ufficiali, rendendole più difficili da rilevare”, ha commentato Tatyana Shishkova, Lead Security Researcher del GReAT (Global Research and Analysis Team) di Kaspersky.

Per saperne di più sulla nuova campagna spyware Mandrake, visitare Securelist.com.

*illustrazione articolo progettata da Secure List by Kaspersky