Mandrake ist eine wiederkehrende Cyber-Bedrohung im mobilen Android-Ökosystem. Forscher entdeckten Mandrake-infizierte Apps vor einigen Jahren, und jetzt hat die Malware offenbar ein Comeback erlebt, indem sie ausgefeiltere Techniken einsetzt, um die neuesten Sicherheitsmaßnahmen zu umgehen.
Die Mandrake-Malware-Familie wurde erstmals 2020 von Bitdefender entdeckt. Das rumänische Cybersicherheitsunternehmen entdeckte die Bedrohung während zweier großer Infektionswellen, die erste in den Jahren 2016–2017 in gefälschten Apps, die auf Google Play heruntergeladen werden konnten, und die zweite in den Jahren 2018–2020. Das bemerkenswerteste Merkmal von Mandrake ist seine Fähigkeit, unter Googles Radar zu verschwinden und eine große Anzahl von Nutzern zu infizieren, wobei Schätzungen zufolge im Laufe von vier Jahren „Hunderttausende“ Nutzer infiziert wurden.
Bei den ersten Wellen von Mandrake-Infektionen wurden mehrere Tricks angewendet, um ihre Anwesenheit zu verbergen. Die Schadsoftware ist darauf ausgelegt, ihre endgültige bösartige Nutzlast an spezifische, besonders gezielte Opfer auszuliefern, und sie enthält sogar einen „Seppuku“-Todesschalter, der in der Lage ist, alle Spuren einer Infektion auf dem Gerät zu löschen.
Gefälschte Apps, die die Mandrake-Malware verbergen, sind voll funktionsfähige „Köder“ in Kategorien wie Finanzen, Automobil, Videoplayer und anderen beliebten App-Typen. Cyberkriminelle, möglicherweise für diese Aufgabe angeworbene Drittentwickler, haben die von Benutzern im PlayStore-Kommentarbereich gemeldeten Schwachstellen schnell behoben. Darüber hinaus werden TLS-Zertifikate verwendet, um die Kommunikation zwischen der Malware und den Command-and-Control-Servern (C&C) zu verbergen.
Die Mandrake-Malware-Familie scheint aus dem Android-Ökosystem verschwunden zu sein, nachdem sie ihre ersten Opfer gefordert hat. Jetzt hat Kaspersky eine neue Welle infizierter Apps entdeckt, die schwerer zu erkennen und zu analysieren sind als zuvor. Diese Malware der „neuen Generation“ nutzt mehrere Ebenen der Code-Verschleierung, um die Analyse zu verhindern und die Scan-Algorithmen von Google zu umgehen, und ergreift außerdem spezielle Gegenmaßnahmen gegen Sandbox-basierte Analysetechniken.
Kaspersky stellte fest, dass die Autoren von Mandrake über fortgeschrittene Programmierkenntnisse verfügen, was die Erkennung und Erforschung der Malware schwieriger macht. Nach Angaben des russischen Sicherheitsunternehmens wurde die neueste App mit Mandrake am 15. März aktualisiert und Ende des Monats aus dem App Store entfernt. Weder Google noch Drittunternehmen können diese neuen Apps als Malware bezeichnen.
Trotz dieser jüngsten Welle von Lock-Apps scheint Mandrakes Hauptzweck unverändert zu bleiben. Die Malware soll die Anmeldeinformationen der Benutzer stehlen, indem sie den Inhalt auf dem Display des Telefons aufzeichnet und diese Aufzeichnungen an einen C&C-Server sendet. Es kann auch andere bösartige Payloads herunterladen und ausführen.
Kaspersky machte keine weiteren Informationen oder Spekulationen über den Autor von Mandrake oder seine Motive. Kaspersky entdeckte fünf Apps mit Malware, die Google schließlich aus dem Play Store entfernte.
Whitepaper herunterladen