Mandrake Spyware Terbaru Ditemukan di Aplikasi Play Store

Sebuah jenis spyware Android yang canggih, Mandrake, telah ditemukan dalam lima aplikasi yang tersedia di Google Play Store, dan tetap tidak terdeteksi selama dua tahun. Temuan ini mengungkapkan bahwa aplikasi-aplikasi tersebut telah diunduh lebih dari 32.000 kali sebelum akhirnya dihapus dari toko aplikasi, menurut laporan terbaru dari Kaspersky yang dirilis pada hari Senin. Sebagian besar unduhan berasal dari negara-negara seperti Kanada, Jerman, Italia, Meksiko, Spanyol, Peru, dan Inggris.

Menurut laporan, spyware Mandrake ini menggunakan teknik obfuscation dan penghindaran yang lebih canggih dalam versi terbarunya. Peneliti Kaspersky, Tatyana Shishkova dan Igor Golovin, menjelaskan bahwa Mandrake kini memanfaatkan teknik baru seperti memindahkan fungsi berbahaya ke pustaka native yang terobfuscate dan menggunakan certificate pinning untuk komunikasi command-and-control (C2). Selain itu, Mandrake juga melakukan berbagai tes untuk memastikan apakah ia berjalan di perangkat yang sudah di-root atau dalam lingkungan yang disimulasikan.

Mandrake pertama kali ditemukan oleh Bitdefender, sebuah vendor keamanan siber asal Rumania, pada Mei 2020. Sejak saat itu, Mandrake dikenal sebagai spyware yang secara sengaja menginfeksi perangkat tertentu sambil tetap tersembunyi sejak 2016. Varian terbaru dari Mandrake ditandai dengan penggunaan OLLVM untuk menyembunyikan fungsionalitas utama dan menggabungkan berbagai teknik penghindaran sandbox serta anti-analisis untuk menghindari deteksi oleh analis malware.

Aplikasi-aplikasi yang terinfeksi Mandrake adalah sebagai berikut:

• AirFS (com.airft.ftrnsfr)
• Amber (com.shrp.sght)
• Astro Explorer (com.astro.dscvr)
• Brain Matrix (com.brnmth.mtrx)
• CryptoPulsing (com.cryptopulsing.browser)

Setiap aplikasi tersebut mengandung malware dalam tiga tahap yang berbeda. Tahap pertama melibatkan penggunaan sebuah dropper untuk meluncurkan loader yang bertugas mengeksekusi komponen inti malware setelah mengunduh dan mendekripsinya dari server C2. Payload tahap kedua berfungsi untuk mengumpulkan berbagai informasi mengenai perangkat, termasuk status konektivitas, aplikasi yang terinstal, persentase baterai, alamat IP eksternal, dan versi Google Play saat ini. Selain itu, tahap kedua ini juga dapat menghapus modul inti dan meminta izin untuk menggambar overlay serta berjalan di latar belakang.

Pada tahap ketiga, Mandrake mendukung perintah tambahan untuk memuat URL tertentu dalam WebView dan memulai sesi berbagi layar jarak jauh. Selain itu, spyware ini juga dapat merekam layar perangkat dengan tujuan mencuri kredensial pengguna dan menyebarkan malware tambahan.

Para peneliti mencatat bahwa Android 13 telah memperkenalkan fitur 'Restricted Settings', yang membatasi aplikasi yang di-sideload untuk meminta izin berbahaya secara langsung. Untuk mengatasi fitur ini, Mandrake menggunakan installer paket berbasis 'session' yang memungkinkan instalasi malware tetap berjalan meski ada pembatasan tersebut.

Menurut perusahaan keamanan Rusia yang melaporkan penemuan ini, Mandrake adalah contoh ancaman yang terus berkembang dan semakin canggih dalam menghindari deteksi. "Ini menunjukkan keterampilan tinggi pelaku ancaman dan bahwa kontrol yang lebih ketat terhadap aplikasi sebelum diterbitkan di pasar hanya menghasilkan ancaman yang lebih canggih dan sulit dideteksi yang berhasil menyelinap ke dalam marketplace aplikasi resmi," kata laporan tersebut.

Ketika dihubungi untuk memberikan komentar, Google menyatakan kepada The Hacker News bahwa mereka terus memperkuat pertahanan Google Play Protect seiring dengan penemuan aplikasi berbahaya baru. Google juga meningkatkan kemampuannya untuk deteksi ancaman secara langsung guna mengatasi teknik obfuscation dan penghindaran yang digunakan oleh malware.

"Pengguna Android secara otomatis dilindungi dari versi malware yang dikenal oleh Google Play Protect, yang diaktifkan secara default pada perangkat Android dengan Google Play Services," ujar juru bicara Google. "Google Play Protect dapat memperingatkan pengguna atau memblokir aplikasi yang diketahui menunjukkan perilaku berbahaya, bahkan jika aplikasi tersebut berasal dari sumber di luar Play Store."