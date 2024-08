Por Que Confiar em Tech Report O Tech Report é um dos sites de análise de hardware, notícias e tecnologia mais antigos da Internet. Escrevemos guias de tecnologia úteis, fazemos análises imparciais de produtos e trazemos até si as últimas notícias sobre tecnologia e criptografia. Mantemos a independência editorial e não abdicamos da qualidade do conteúdo e da precisão factual.

A Kaspersky, empresa russa de segurança cibernética, encontrou uma nova versão do spyware Mandrake escondida em cinco aplicativos do Google Play.

Todos os apps infectados foram removidos, mas já foram baixados 32.000 vezes. A maioria dos downloads veio da Espanha, Peru, Alemanha, Canadá e Reino Unido.

A pior parte dessa nova versão é que ela é muito difícil de detectar.

De acordo com um relatório da Kaspersky, uma nova versão do popular spyware Android Mandrake foi encontrada em 5 aplicativos da Google Play Store. Esses aplicativos incluem:

AirFS (com.airft.ftrnsfr)

Âmbar (com.shrp.sght)

Matriz Cerebral (com.Astro.dscvr)

Criptopulsação (com.breath.mtrx)

Astro Explorer (com.crypto pulsing.browser)

De acordo com o relatório, o spyware está escondido nesses aplicativos há 2 anos. Juntos, esses apps têm mais de 32.000 instalações.

A maioria desses downloads veio do México, Espanha, Peru, Alemanha, Canadá e Reino Unido. Todos os 5 aplicativos foram removidos da app store, com o mais popular, AirFS, sendo removido no final de março de 2024.

Sobre a nova versão do Mandrake

A nova versão empregou novas camadas de técnicas de evasão, de acordo com os pesquisadores Tatyana Shishkova e Igor Golovin, alguns pontos de destaque são:

Movendo funcionalidade maliciosa para bibliotecas nativas ofuscadas.

Usando pinagem de certificado para comunicações C2.

Realizando uma ampla gama de testes para verificar se o Mandrake estava sendo executado em um dispositivo com root ou em um ambiente emulado.

Por exemplo, o Android 13 adicionou um recurso de “Configurações Restritas” que impede que aplicativos de sideload solicitem permissão perigosa. Mas o Mandrake contorna esse obstáculo de forma inteligente ao processar a instalação com um instalador de pacote baseado em sessão.

Há três etapas envolvidas:

O primeiro estágio é um dropper que inicia um carregador que executa o componente principal do malware após o download.

No segundo estágio, são coletadas informações sobre o status de conectividade do dispositivo, porcentagem da bateria, endereço IP e a versão atual do Google Play. Neste estágio, o spyware também pode limpar o módulo principal e obter permissão para desenhar sobreposições e executar em segundo plano.

No último estágio, ele pode carregar uma URL especial na web que eventualmente concederá ao agente da ameaça acesso remoto de compartilhamento de tela.

O que o Google tem a dizer sobre isso?

O Google foi informado sobre o incidente. A gigante da tecnologia disse que está constantemente aumentando sua segurança para evitar que tais agentes de ameaças alcancem seus usuários. Por exemplo, ela adicionou uma técnica de detecção de ameaças ao vivo para lidar com técnicas anti evasão.

Falando especificamente do Mandrake, o Google disse que os usuários já estão protegidos contra as versões conhecidas deste spyware pelo Google Play Protect, que é ativado por padrão em todos os dispositivos Android.

Mas como a Kaspersky mencionou, o Mandrake é um desses malwares que está em constante evolução e criando novas técnicas de evasão. Então, lidar com ele ainda é um grande desafio.

Acredita-se que o spyware tenha se tornado ativo pela primeira vez em 2016, mas conseguiu escapar da detecção até 2020, quando foi documentado pela primeira vez pelo fornecedor romeno de segurança cibernética Bitdefender. Já se passaram 4 anos e, ainda assim, o Mandrake conseguiu escapar impune todas as vezes.