Nunca é tarde para alertar sobre novas estirpes de malware que são detetadas nas aplicações que instalamos a partir da Google Play. A Kaspersky alerta para novas variantes do malware Madrake, que foi avistado pela primeira vez em maio de 2020. Trata-se de uma plataforma sofisticada de ciberespionagem no Android, ativo pelo menos nos últimos quatro anos.

A variação do Mandrake foi descoberta em abril deste ano em pelo menos cinco aplicações disponíveis na loja de aplicações Google Play. No total foram registadas 32 mil instalações destas aplicações, que, entretanto, já foram removidas da loja.

Veja na galeria mais detalhes:

Apesar de removidas em março, a Kaspersky partilhou o número de vezes que cada uma foi instalada. A AirFS, uma aplicação de partilha de ficheiros via Wi-Fi foi a mais instalada, contando com 30.305 instalações. A CryptoPulsing teve 790 intalações e a Astro Explorer 718 vezes. A Brain Matrix teve 259 instalações e por fim a Amber contou com apenas 19.

O malware escondido nestas aplicações roubava credenciais aos utilizadores, abrindo ainda portas ao download e instalação de outras apps maliciosas. Os especialistas da Kaspersky dizem que esta variante tinha novas camadas de ofuscação e técnicas de evasão. Era capaz de se esconder em bibliotecas de ficheiros nativos, utilizado certificação para comunicações C2.

Os investigadores da Kaspersky afirmam que o spyware do Mandrake evolui de forma dinâmica, melhorando os seus métodos de esconder, ultrapassando os mecanismos de defesa. A primeira campanha do Mandrake conseguiu manter-se ativa durante quatro anos, sem ser detetada e esta segunda geração durante dois.