Mandrake torna all’attacco, e ora in una versione ancora più potente e altrettanto pericolosa. Lo spyware Android è stato recentemente individuato in diverse applicazioni presenti sul Google Play Store, scaricate complessivamente da decine di migliaia di utenti. Chi se lo ritrova nel proprio smartphone rischia grosso, per questo deve subito mettersi al riparo.
Mandrake, cos’è e come agisce
Come riporta Bleeping Computer, Mandrake è uno dei più pericolosi spyware in circolazione. Per la cronaca, uno spyware è un malware che si infiltra negli smartphone per carpire quante più informazioni possibili. E senza guardare in faccia a nessuno, nemmeno ai Governi.
A differenza di molti altri malware su Android, Mandrake attua una sorta di “offuscamento” che gli permette di nascondersi ai primi controlli e, successivamente, di inserirsi dentro i server di comando e controllo (C2). Accedendovi, Mandrake può procedere con le sue attività dannose, quali:
- raccolta di dati,
- registrazione dello schermo,
- esecuzione di comandi,
- simulazione di tocchi e swipe,
- gestione di file,
- installazione di applicazioni.
La pericolosità di questo spyware è tutta nella sua capacità di eludere le restrizioni di sicurezza imposte dalle versioni più recenti di Android, come la limitazione dell’installazione di APK da fonti non ufficiali introdotta con l’aggiornamento a Android 13.
In particolare, come segnalato dalle aziende di sicurezza Bitdefender e Kaspersky, che hanno seguito l’evoluzione di questo malware fin dal suo primo rilevamento nel 2016, la versione più recente del malware implementa tecniche per evitare la rilevazione, controllando la presenza di strumenti di analisi come Frida, lo stato di root del dispositivo e altre impostazioni di sviluppo.
Oltre 30mila download a rischio su Play Store
Forte di questa sua nuova versione, riferisce Bleeping Computer, nell’ultima analisi condotta da Kaspersky Mandrake riuscito a infiltrarsi in ben 5 applicazioni che, al momento della scoperta, erano già state scaricate ben 30mila volte su Google Play Store. Le applicazioni incriminate sono:
- AirFS (30.305 download).
- Astro Explorer (718 download).
- Amber (19 download).
- CryptoPulsing (790 download).
- Brain Matrix (259 download).
La maggior parte delle installazioni di queste app proveniva da Canada, Germania, Italia, Messico, Spagna, Perù e Regno Unito.
Come proteggersi dallo spyware
Nonostante le cinque applicazioni siano state rimosse dal Google Play Store, il pericolo rappresentato da Mandrake non è del tutto scomparso.
Invitiamo gli utenti Android a scaricare sempre e solo applicazioni da fonti affidabili, nonché a leggere attentamente le recensioni e i commenti degli utenti prima di procedere all’installazione. E così anche di evitare di concedere permessi e autorizzazioni alle app se non sono strettamente necessari al loro funzionamento.
È inoltre fondamentale mantenere sempre attivo e aggiornato Google Play Protect, il sistema di protezione di Google che rileva e blocca le app dannose.
