Cinq applications acceptées sur la boutique d’applications Android de Google ont propagé une nouvelle version du spyware Mandrake entre 2022 et 2024.
Découvert pour la première fois en 2020 par l’éditeur de solutions de sécurité Bitdefender, Mandrake, le logiciel espion qui exploite les applications Android, a fait un retour en toute discrétion sur le Google Play Store.
Cette fois, ce sont des chercheurs de Kaspersky qui ont découvert une variante de Mandrake dans cinq applications Android qui totalisent plus de 32 000 téléchargements.
De nouvelles techniques de dissimulation
Ces applications vérolées se sont infiltrées en 2022 en utilisant de nouvelles techniques de dissimulation qui leur ont permis de passer les fourches caudines de Google Play. « Le logiciel espion Mandrake évolue de manière dynamique, améliorant ses méthodes de dissimulation, d'évasion des bacs à sable et de contournement des nouveaux mécanismes de défense », constate Kaspersky.
Parmi les applications mentionnées, AirFS, un service de partage de fichiers par Wi-Fi, a été téléchargée 30 305 fois. Plus inquiétant, elle n’a été retirée qu’en mars 2024. Les quatre autres applications concernées sont : CryptoPulsing (790 téléchargements), Astro Explorer (718 téléchargements), Brain Matrix (259 téléchargements) et Amber (19 téléchargements).
Un spyware polyvalent
Une fois installé, le spyware Mandrake sévit de diverses manières, que ce soit pour surveiller et enregistrer l’activité à l’écran, collecter des données, exécuter des commandes, simuler des gestes de tapotement et de glissement de l’utilisateur ou encore inciter à l’installation d’applications malveillantes en diffusant des notifications qui imitent Google Play.
D’après Kaspersky, ces applications ont été diffusées principalement en Allemagne, au Canada, en Espagne, en Italie, au Mexique, au Pérou et au Royaume-Uni.
La même source ?
Les chercheurs en sécurité estiment que dans sa première mouture, Mandrake a opéré sous les radars entre 2016 et 2020. A l’époque, BitDefender avait identifié des sources techniques qui remontaient à un acteur opérant en Russie.
« Compte tenu des similitudes entre la campagne actuelle et la précédente, et du fait que les domaines C2 sont enregistrés en Russie, nous supposons avec une grande confiance que l'acteur de la menace est le même que celui mentionné dans le rapport de Bitdefender », conclut Kaspersky.
Source : Kaspersky