Os investigadores da Kaspersky identificaram uma nova campanha de spyware que distribui um malware denominado Mandrake, por meio do Google Play. A ameaça ficava disfarçada em aplicativos legítimos relacionados a criptomoedas, astronomia e outras ferramentas de gerenciamento do aparelho. Os especialistas descobriram cinco aplicativos no Google Play que continham este malware e que estiveram disponíveis por dois anos, sem serem detectados, contabilizando mais de 32 mil downloads. Veja mais detalhes abaixo.
Identificado pela primeira vez em 2020, o spyware Mandrake é uma sofisticada plataforma de espionagem para Android, que tem estado ativa pelo menos desde 2016. Esse software malicioso se instala secretamente em um dispositivo para coletar e enviar informações pessoais e sensíveis sem o conhecimento ou consentimento do usuário.
Em abril de 2024, os investigadores da Kaspersky descobriram uma amostra suspeita, sugerindo uma nova versão do Mandrake com funcionalidades melhoradas. Estas novas amostras apresentam técnicas avançadas de ocultação e evasão, incluindo a realização de verificações extensivas para detectar se o Mandrake está funcionando em um dispositivo que fez root (permite que o aparelho execute comandos privilegiados que tipicamente são indisponíveis em sua configuração padrão) ou em um ambiente controlado.
A principal característica da nova variante do Mandrake são as novas técnicas avançadas de ocultação, concebidas para contornar as verificações de segurança do Google Play e dificultar sua análise. Estes aplicativos, todos publicados em 2022 no Google Play, estavam disponíveis para download há pelo menos um ano. Foram apresentados como um aplicativo de compartilhamento de arquivos via Wi-Fi, um aplicativo de serviços de astronomia, um game, um aplicativo de criptomoedas e um aplicativo com puzzles de lógica.
Aplicativos Mandrake no Google Play
Embora estes aplicativos maliciosos já não estejam mais no Google Play, estavam disponíveis em um vasto leque de países, com a maioria dos downloads detectados no Canadá, Alemanha, Itália, México, Espanha, Peru e Reino Unido.
“Após escapar à detecção durante quatro anos consecutivos com suas versões iniciais, a última campanha do Mandrake permaneceu sem ser encontrada no Google Play durante mais dois anos. Isto demonstra as competências avançadas dos cibercriminosos envolvidos. Também destaca uma tendência preocupante: à medida que as restrições se tornam mais incisivas e as verificações de segurança mais rigorosas, a sofisticação das ameaças que se infiltram nas lojas de aplicativos oficiais aumenta, tornando-as mais cada vez mais difíceis de detectar”, destaca Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Para se manter a salvo de ameaças como este spyware, os especialistas da Kaspersky recomendam:
Utilizar lojas oficiais: faça o download de aplicativos e software de fontes oficiais e com boa reputação. Evite lojas de terceiros, pois o risco de alojarem conteúdos maliciosos ou comprometidos é maior. Tenha em mente que mesmo as plataformas oficiais podem possuir aplicativos maliciosos. Verifique sempre os comentários e as classificações antes de um download ou compra.
Escolher um software de segurança de boa reputação: Instale e mantenha um software antivírus e antimalware de boa reputação nos seus dispositivos. Analise regularmente os seus dispositivos, para detectar potenciais ameaças, e mantenha o seu software de segurança atualizado.
Tenha consciência sobre os esquemas mais comuns: Mantenha-se informado sobre as mais recentes ameaças, técnicas e táticas de cibersegurança. Tenha cuidado com pedidos não solicitados, ofertas suspeitas ou pedidos urgentes de informações pessoais, ou financeiras.
