Il ritorno di Mandrake, un sofisticato spyware per Android

Mandrake è un sofisticato framework per lo spionaggio e la sottrazione di informazioni, progettato per sistemi Android, che risulta attivo almeno dal 2016.

In una delle prime analisi, rilasciata nel 2020, Mandrake veniva presentato come uno strumento realizzato da criminali motivati finanziariamente che era riuscito a rimanere nascosto nel Google Play Store per anni.

Le prime campagne hanno sfruttato uno spyware dotato di funzionalità limitate che, nel corso del tempo è stato progressivamente modificato e migliorato, soprattutto nelle funzioni di elusione della detection e nella persistenza.

La versione del 2020 disponeva già di numerose features: manipolare gli SMS, abusare di chiamate e contatti, compromettere le applicazioni installate nel dispositivo target, raccogliere le informazioni di sistema, tracciare la localizzazione, svolgere attività di spionaggio e rubare credenziali di qualsiasi account. Inoltre, Mandrake sfruttava il VNC (Virtual Network Computing) per prendere il controllo di altri dispositivi da remoto.

In quella prima fase, Mandrake ha svolto attività di phishing ai danni delle seguenti applicazioni per servizi finanziari e di home banking: PayPal, PostePay di Poste Italiane, ANZ Australia, Commonwealth Bank of Australia, Bank of Melbourne Mobile Banking, PLUS BANK S.A., mBank e DeutscheKreditbank AG. Inoltre, ha mirato all’app per il trading e gli investimenti CommSec, a wallet di criptovalute come Lunoor Coinbase e alle app di Amazon, Gmail e Google Chrome.

La distribuzione allora è stata affidata ad APK malevoli con funzioni di dropper che si fingevano utility di varia tipologia. Si trattava in ogni caso di applicazioni autonome, completamente funzionali e destinate a un’ampia gamma di attività: finanza, auto e veicoli, lettori e editor video, arte e design e produttività.

Le vittime censite nel 2020 erano localizzate soprattutto in Australia, Stati Uniti, Canada, Regno Unito ed Europa (con numeri significativi in Italia e Germania), e poi in America Latina, Asia Pacifica e Centrale.

Data la precisione quasi chirurgica di quegli attacchi, gli analisti hanno ipotizzato un controllo manuale diretto, e non automatizzato, della minaccia. 

Nelle versioni più recenti di Mandrake, la complessità del codice e la quantità delle tecniche anti-detection sono aumentate in modo significativo. L’ultima release può anche rilevare Frida, un toolkit di strumentazione dinamica popolare fra i ricercatori di sicurezza. Inoltre, è in grado di aggirare la funzione Restricted Settings, introdotta con Android 13, che vieta alle applicazioni sideloaded di richiedere direttamente autorizzazioni critiche. 

Una volta attivato il componente principale, lo spyware può eseguire un’ampia gamma di operazioni malevole, tra cui la registrazione e il monitoraggio dello schermo, l’esecuzione di comandi, la simulazione dei movimenti dell’utente e la gestione dei file. L’attaccante può anche spingere le vittime a installare ulteriori APK dannosi visualizzando notifiche che imitano quelle dello store ufficiale di Google.

I tracciamenti più recenti, risalenti al biennio 2022-24, riguardano in particolare APK malevoli che si sono spacciati per le applicazioni AirFS (per la condivisione dei file), Astro Explorer, CryptoPulsing, Amber e Brain Matrix. La maggior parte dei download sono avvenuti in Canada, Germania, Italia, Messico, Spagna, Perù e Regno Unito.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence