Baru-baru ini, versi baru dari spyware Android canggih bernama Mandrake ditemukan dalam lima aplikasi yang tersedia untuk diunduh dari Google Play Store. Spyware ini berhasil tidak terdeteksi selama dua tahun, dan aplikasi-aplikasi tersebut telah diunduh lebih dari 32.000 kali sebelum akhirnya ditarik dari toko aplikasi oleh Google.
Menurut laporan dari Kaspersky, sebagian besar unduhan berasal dari Kanada, Jerman, Italia, Meksiko, Spanyol, Peru, dan Inggris. Para peneliti, Tatyana Shishkova dan Igor Golovin, menyatakan bahwa sampel baru Mandrake ini menggunakan lapisan-lapisan obfuscation dan teknik penghindaran baru, seperti memindahkan fungsi berbahaya ke dalam perpustakaan native yang disamarkan, menggunakan certificate pinning untuk komunikasi command-and-control (C2), dan melakukan serangkaian tes untuk memeriksa apakah Mandrake berjalan di perangkat yang telah di-root atau di lingkungan yang disimulasikan.
Mandrake pertama kali didokumentasikan oleh vendor keamanan siber asal Rumania, Bitdefender, pada Mei 2020. Malware ini dijelaskan memiliki pendekatan yang disengaja untuk menginfeksi sejumlah perangkat, meskipun telah berhasil beroperasi dalam bayangan sejak 2016. Hingga saat ini, Mandrake belum diatribusikan ke aktor atau kelompok ancaman tertentu.
Varian terbaru Mandrake dicirikan dengan penggunaan OLLVM untuk menyembunyikan fungsi utama, serta menggabungkan berbagai teknik penghindaran sandbox dan anti-analisis untuk mencegah kode dieksekusi di lingkungan yang dioperasikan oleh analis malware.
Daftar aplikasi yang mengandung Mandrake :
- AirFS (com.airft.ftrnsfr)
- Amber (com.shrp.sght)
- Astro Explorer (com.astro.dscvr)
- Brain Matrix (com.brnmth.mtrx)
- CryptoPulsing (com.cryptopulsing.browser)
Aplikasi-aplikasi ini bekerja dalam tiga tahap: pertama, sebuah dropper yang meluncurkan loader yang bertanggung jawab untuk mengeksekusi komponen inti malware setelah mengunduh dan mendekripsinya dari server command-and-control (C2). Payload tahap kedua juga mampu mengumpulkan informasi tentang status konektivitas perangkat, aplikasi yang diinstal, persentase baterai, alamat IP eksternal, dan versi Google Play saat ini. Selain itu, payload ini dapat menghapus modul inti dan meminta izin untuk menampilkan overlay serta berjalan di latar belakang. Tahap ketiga mendukung perintah tambahan untuk memuat URL tertentu di WebView dan memulai sesi berbagi layar jarak jauh serta merekam layar perangkat dengan tujuan mencuri kredensial korban dan menanamkan lebih banyak malware.
Peneliti mencatat bahwa Android 13 telah memperkenalkan fitur ‘Pengaturan Terbatas’ yang melarang aplikasi yang diunduh secara sideload untuk meminta izin berbahaya secara langsung. Untuk mengatasi fitur ini, Mandrake memproses instalasi dengan penginstal paket berbasis sesi.
Perusahaan keamanan Rusia menggambarkan Mandrake sebagai ancaman yang terus berkembang secara dinamis dan terus menyempurnakan tekniknya untuk melewati mekanisme pertahanan dan menghindari deteksi. “Ini menyoroti keterampilan hebat para pelaku ancaman, dan juga bahwa kontrol yang lebih ketat untuk aplikasi sebelum diterbitkan di pasar hanya berarti ancaman yang lebih canggih dan sulit dideteksi menyelinap ke pasar aplikasi resmi,” katanya.
Ketika dimintai komentar, Google mengatakan kepada The Hacker News bahwa mereka terus memperkuat pertahanan Google Play Protect saat aplikasi berbahaya baru terdeteksi dan bahwa mereka meningkatkan kemampuan mereka untuk memasukkan deteksi ancaman secara langsung guna mengatasi teknik obfuscation dan anti-evasion.
“Pengguna Android secara otomatis dilindungi dari versi malware yang dikenal oleh Google Play Protect, yang secara default diaktifkan di perangkat Android dengan Google Play Services,” kata juru bicara Google. “Google Play Protect dapat memperingatkan pengguna atau memblokir aplikasi yang diketahui menunjukkan perilaku berbahaya, bahkan ketika aplikasi tersebut berasal dari sumber di luar Play.”
