« Famille mystérieuse de logiciels malveillants cachée dans Google Play depuis des années »

Une mystérieuse famille de logiciels malveillants pour Android, dotée d’un historique démontré de dissimulation efficace de ses innombrables activités d’espionnage, a une fois de plus été trouvée sur Google Play après plus de deux ans à se cacher en pleine vue. Les applications, déguisées en partage de fichiers, applications d’astronomie et de cryptomonnaie, hébergeaient Mandrake, une famille de logiciels malveillants hautement intrusifs que la société de sécurité Bitdefender a dénoncée en 2020. Bitdefender a déclaré que les applications sont apparues en deux vagues, une de 2016 à 2017 et une autre de 2018 à 2020. La capacité de Mandrake à passer inaperçu était alors le résultat de mesures inhabituellement rigoureuses pour passer sous le radar. Bitdefender a estimé le nombre de victimes à des dizaines de milliers pour la vague de 2018 à 2020 et « probablement des centaines de milliers tout au long de la période de 4 ans ». Suite au rapport de Bitdefender en 2020, les applications infectées par Mandrake ont semblé disparaître de Play. Maintenant, la société de sécurité Kaspersky a signalé que les applications sont réapparues en 2022 et sont passées inaperçues jusqu’à présent. En plus d’une nouvelle série d’applications appâts, les opérateurs de Mandrake ont également introduit plusieurs mesures pour mieux dissimuler leur comportement malveillant, éviter l’analyse des « systèmes de bac à sable » utilisés par les chercheurs pour identifier et étudier les logiciels malveillants, et contourner les protections anti-programmes malveillants introduites au cours des dernières années. « Le logiciel espion Mandrake évolue de manière dynamique, améliorant ses méthodes de dissimulation, son évitement du bac à sable et le contournement de nouveaux mécanismes de défense », ont écrit les chercheurs de Kaspersky Tatyana Shishkova et Igor Golovin. « Après que les applications de la première campagne soient restées indétectées pendant quatre ans, la campagne actuelle a été dissimulée dans l’ombre pendant deux ans, tout en restant disponible en téléchargement sur Google Play. Cela met en lumière les compétences redoutables des acteurs de la menace, mais aussi que des contrôles plus stricts pour les applications avant leur publication sur les marchés ne se traduisent que par des menaces plus sophistiquées et plus difficiles à détecter s’introduisant dans les places de marché officielles d’applications. »

Share the Post: