Jakarta, Titik Kumpul – Peneliti Kaspersky telah menemukan spyware baru, malware Mandrake, yang didistribusikan melalui Google Play dengan kedok aplikasi sah terkait aset kripto, astronomi, dan layanan.
Mereka menemukan lima aplikasi Mandrake di Google Play yang telah tersedia selama dua tahun dan telah diunduh lebih dari 32.000 kali.
Contoh terbaru mencakup teknik kebingungan dan penghindaran tingkat lanjut, sehingga tidak terdeteksi oleh penyedia keamanan.
Pertama kali diperkenalkan pada tahun 2020, Spyware Mandrake adalah platform spyware Android canggih yang telah aktif setidaknya sejak tahun 2016.
Pada bulan April 2024, peneliti Kaspersky menemukan sampel mencurigakan yang menunjukkan versi baru Mandrake dengan fungsionalitas yang ditingkatkan.
Mesin virtual baru ini menggunakan teknik mitigasi dan penghindaran tingkat lanjut, termasuk mengalihkan fungsi berbahaya ke perpustakaan asli menggunakan OLLVM, menerapkan penyematan sertifikat untuk komunikasi aman dengan server perintah dan kontrol (C2), dan melakukan pemeriksaan ekstensif untuk menentukan apakah Mandrake berjalan di perangkat . Mengandung dalam lingkungan yang terstruktur atau disimulasikan dengan baik.
Fitur pembeda utama dari versi baru Mandrake adalah penambahan teknologi kebingungan canggih yang dirancang untuk melewati kontrol keamanan Google Play dan mencegah analisis.
Aplikasi ini, semuanya dirilis di Google Play pada tahun 2022, telah tersedia untuk diunduh setidaknya selama satu tahun.
Aplikasi-aplikasi tersebut dihadirkan dalam bentuk aplikasi berbagi file melalui Wi-Fi, aplikasi layanan astronomi, game Amber untuk Genshin, aplikasi aset kripto, dan aplikasi teka-teki logika.
Pada Juli 2024, tidak satu pun dari aplikasi ini yang terdeteksi sebagai malware oleh vendor mana pun, menurut VirusTotal.
Meskipun aplikasi berbahaya ini tidak lagi tersedia di Google Play, aplikasi ini tersedia di berbagai negara, dengan sebagian besar unduhan terjadi di Kanada, Jerman, Italia, Meksiko, Spanyol, Peru, dan Inggris.
Peneliti Keamanan Kaspersky Tatyana Shishkova mengatakan, “Karena kesamaan kampanye saat ini dan sebelumnya dengan domain C2 yang terdaftar di Rusia, kami berasumsi dengan keyakinan tinggi bahwa pelaku ancaman sama dengan yang diidentifikasi dalam laporan deteksi awal Bitdefender.”
Menurutnya, spyware Mandrake terbaru, yang lolos dari deteksi selama empat tahun setelah pertama kali dirilis, tetap tidak terdeteksi di Google Play selama dua tahun berikutnya. Hal ini mencerminkan kemampuan canggih dari para pelaku ancaman siber yang terlibat.
“Tentu saja, ini adalah tren yang mengkhawatirkan seiring dengan semakin ketatnya pembatasan dan kontrol keamanan, kecanggihan ancaman siber yang menghindari toko aplikasi resmi (seperti Google Play) meningkat dan semakin sulit untuk mendeteksinya.”