Mandrake

Android-Malware bleibt über Jahre unentdeckt in Googles App-Store

Uhr
von René Jaun und tme

Hackern gelingt es regelmässig, ihre Schadsoftware als seriöse Apps zu tarnen und sie so in offiziellen App-Stores zu verbreiten. Im Falle der Malware Mandrake blieben die verseuchten Apps während mehrerer Jahren unentdeckt. Cybersecurity-Anbieter Kaspersky mahnt zur Vorsicht.

(Source: Pathum Danthanarayana / Unsplash.com)
(Source: Pathum Danthanarayana / Unsplash.com)

Die Geschichte, die der Antivirenentwickler Kaspersky erzählt, ist eigentlich nicht neu: Hackern ist es gelungen, ihre Schadsoftware auf Googles Plattform für Android-Apps hochzuladen. Sie schafften dies, indem sie die Malware – in diesem Fall eine Spyware namens "Mandrake" – tarnten, etwa als Apps für Kryptowährungen, Astronomie oder zum einfachen Teilen von Dateien.

Was an Kasperskys Mitteilung aufhorchen lässt, sind die Zeitangaben: Demnach, so schreibt das russische Unternehmen, seien ein paar der mit Mandrake verseuchten Apps zwei Jahre lang im Google Play Store verfügbar gewesen. Während Jahren habe keine der erhältlichen Antivirensoftware die betroffenen Apps als gefährlich eingestuft, heisst es unter Berufung auf Virustotal. Insgesamt seien die bösartigen Apps über 32'000 mal heruntergeladen worden. Immerhin: Inzwischen sind die Apps nicht mehr in Google Play gelistet, wie Kaspersky beruhigt.

Die Malware Mandrake selber ist übrigens noch älter als die von Kaspersky entdeckten Apps. Das Programm, das der Cybersecurity-Anbieter als "fortgeschrittene Spionage-Plattform für Android" beschreibt, sei erstmals 2020 als Malware identifiziert worden, sei aber seit mindestens 2016 aktiv.

Dass es die Hackergruppe hinter Mandrake schafft, über Jahre unentdeckt zu bleiben, liegt an deren "fortgeschrittenen Fähigkeiten", wie Kaspersky erklärt. In der Mitteilung nennt das Unternehmen drei Beispiele für Mandrakes erweiterte Verschleierungs- und Umgehungstechniken: 

  • schädliche Funktionen mit OLLVM in systemeigene Libraries verschieben

  • Certificate Pinning für die sichere Kommunikation mit C2-Servern (Command-and-Control) einsetzen

  • überprüfen, ob Mandrake auf einem gerooteten Gerät oder innerhalb einer virtuellen Umgebung operiert

Tatyana Shishkova, Lead Security Researcher bei Kaspersky, spricht in der Mitteilung von einem besorgniserregenden Trend: "Angesichts sich verschärfender Vorgaben und Sicherheitskontrollen werden Bedrohungen, die versuchen, in offizielle Appstores einzudringen, immer ausgeklügelter und dadurch schwieriger zu entdecken."

Kaspersky plädiert in den Empfehlungen an die User dafür, Apps nur aus offiziellen Quellen zu installieren, aber nicht nur; "Vor dem Download stets die Kommentare und Bewertungen prüfen", fügt das Unternehmen hinzu. Zudem rät das Unternehmen, sich regelmässig über aktuelle Bedrohungen, Taktiken und Techniken von Cyberkriminellen zu informieren. Dies können Sie übrigens, indem Sie sich für den Newsletter von Swisscybersecurity.net anmelden. Schliesslich mahnt Kaspersky noch zu Vorsicht bei unerwarteten Anfragen, verdächtigen Angeboten oder dringenden Forderungen nach persönlichen oder finanziellen Informationen.

 

Um Android-Apps ging es auch in einer im Mai 2024 von Microsoft veröffentlichten Warnung. Wie Hacker via "Dirty Stream" Schadcode in Apps einschleusen und ausführen, lesen Sie hier.

Webcode
Evd3VAwb