Eigentlich verspricht Google mit Google Play Protect, dass man den App-Store ständig nach verseuchten Apps scannt. Kaspersky hat 5 Apps im Store gefunden die die Malware „Mandrake“ beinhalten und die Apps sind seit 2 Jahren verfügbar.
Eine neue Spyware-Kampagne wurde erst vor kurzem von Kaspersky entdeckt, die die Malware ‚Mandrake‘ in Google Play verbreitet. Die Malware tarnt sich als legitime Apps für Kryptowährungen, Astronomie oder Utility Tools. Fünf der von Kaspersky gefundenen Apps sind bereits seit zwei Jahren in Google Play verfügbar und wurden mehr als 32.000 Mal heruntergeladen; durch fortgeschrittene Verschleierungs- und Umgehungstechniken umgeht Mandrake einer Entdeckung durch Sicherheitsanbieter.
Spionage-App seit 2 Jahren im Google App Store
Bei Mandrake handelt es sich um eine fortgeschrittene Spionage-Plattform für Android, die zum ersten Mal im Jahr 2020 identifiziert wurde und bereits seit mindestens 2016 aktiv ist. Im April 2024 untersuchten Kaspersky-Experten ein verdächtiges Sample, bei dem Mandrake neue Funktionalitäten aufwies. Ihr Hauptunterscheidungsmerkmal zur früheren Kampagne: erweiterte Verschleierungs- und Umgehungstechniken, darunter:
- schädliche Funktionen mit OLLVM in systemeigene Libraries verschieben,
- Certificate Pinning für die sichere Kommunikation mit C2-Servern (Command-and-Control) einsetzen sowie
- überprüfen, ob Mandrake auf einem gerooteten Gerät oder innerhalb einer virtuellen Umgebung operiert.
Laut VirusTotal wurde bis Juli 2024 keine der Apps von Sicherheitsanbietern als Malware erkannt. Mandrake tarnte sich im Google Play Store als Apps zum Filesharing über WLAN, für astronomische Dienstleistungen, Kryptowährung und Logikpuzzles sowie als Game zum Charakter „Amber“ aus dem RPG „Genshin Impact“. Neben Deutschland stammen die meisten der über 32.000 Downloads aus Kanada, Italien, Mexiko, Spanien, Peru und dem Vereinigten Königreich; die Apps sind nicht länger in Google Play verfügbar.
Spionage Kampagne: Alte Bekannte
Aufgrund ihrer Ähnlichkeit zu früheren in Russland registrierten C2-Kampagnen gehen die Experten von Kaspersky davon aus, dass es sich hierbei mit hoher Wahrscheinlichkeit um denselben Bedrohungsakteur wie im Erkennungsreport von Bitdefender aus dem Jahr 2016 handelt.
„Nachdem sie in ihrer Ursprungsform vier Jahre lang einer Entdeckung entgangen war, blieb auch die aktuelle Mandrake-Kampagne im Google Play Store zwei Jahre unentdeckt. Dies zeigt die fortgeschrittenen Fähigkeiten des Bedrohungsakteurs hinter der Malware“, kommentiert Tatyana Shishkova, Lead Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky. „Sie zeigt einen besorgniserregenden Trend: Angesichts sich verschärfender Vorgaben und Sicherheitskontrollen werden Bedrohungen, die versuchen, in offizielle Appstores einzudringen, immer ausgeklügelter und dadurch schwieriger zu entdecken.“
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/