Cybersecurity is een vak dat elke dag anders is. Dat blijkt ook wel uit nieuwe malware die werd gevonden: Mandrake stond jarenlang met meerdere apps gewoon in de Google Play Store. Het is een soort raamwerk van meerdere apps die voorzien waren van een complexe malware.
Kaspersky kwam de apps op het spoor, nadat Mandrake in 2020 al werd gemeld door Bitdefender. De apps werden toen uit de Google Play Store gehaald en het werd stil. Nu blijkt dat er alweer twee jaar lang Mandrake-apps in de appwinkel van Google staan. Ze zijn nu verwijdert, maar het ging om AirFS, Astro Explorer, Amber, CryptoPulsing en Brain Matrix. Zoals je wellicht uit de apptitels kunt opmaken zijn dat heel verschillende apps: eentje over astronomie, over crypto en eentje om gegevens te versturen.
New Mandrake #Android spyware found in five Google Play Store apps, undetected for two years.
This #spyware compromised over 32,000 devices across multiple countries, showcasing the evolving threat landscape.
Learn more: https://t.co/FzBywl9jrM#cybersecurity #infosec
— The Hacker News (@TheHackersNews) July 30, 2024
Dat de apps zo lang niet werden opgemerkt als malware is opvallend, maar komt onder andere omdat er knappe koppen achter schuilgaan. Ze hadden zelfs een killswitch ingebouwd waarmee ze in één keer alles konden wissen wat maar met de malware te maken had, om zo het zekere voor het onzekere te nemen als ze toch werden gevonden. Daarnaast is het malware die specifieke personen als doelwit had. Die personen werden na het installeren van de apps bovendien gewoon voorzien van appupdates, dus ze hadden niet snel in de gaten dat er iets geks mee was. De malware zelf was in een verborgen bieb gezet.
De malware werkte zo dat wanneer iemand wilde inloggen er screenshots werden gemaakt en er zelfs een soort aparte portaal werd geopend. Zo kunnen ze inloggegevcens ontfutselen, maar wat ze daar verder mee doen is onbekend. In ieder geval maakte de malware van 2018 tot 2020 al diverse slachtoffers: tienduizenden mensen. Dat is niet het ergste aan deze comeback. Het is vooral het feit dat het dus zeker mogelijk is om de checks van Google te omzeilen dat men doet beseffen dat het misschien wel het topje van een ijsberg is. Ook software van bekende securitybedrijven wisten de malware niet zo een-twee-drie op te sporen.
Kaspersky zegt: “Dit benadrukt de geavanceerde vaardigheden van de bedreigingsactoren en dat strengere controles op apps er alleen maar toe leiden dat geavanceerdere, moeilijker te detecteren bedreigingen de appwinkels binnensluipen.” Plus, als ze enmaal worden gesnapt dan is alles ook snel weggehaald, waardoor het ook moeilijker is om deze kwaadwillenden te pakken.
