Keluarga malware misterius tersembunyi di Google Play selama bertahun-tahun

Sebuah keluarga malware Android misterius yang terbukti mampu menyembunyikan berbagai aktivitas mata-matanya secara efektif telah ditemukan kembali di Google Play setelah lebih dari dua tahun bersembunyi dari pandangan umum.

Aplikasi-aplikasi tersebut, yang menyamar sebagai aplikasi berbagi berkas, astronomi, dan mata uang kripto, meng-host Mandrake, sebuah keluarga malware yang sangat mengganggu yang disusupi oleh perusahaan keamanan Bitdefender memanggil pada tahun 2020. Bitdefender mengatakan aplikasi tersebut muncul dalam dua gelombang, satu pada tahun 2016 hingga 2017 dan sekali lagi pada tahun 2018 hingga 2020. Kemampuan Mandrake untuk tidak diketahui saat itu adalah hasil dari beberapa langkah yang luar biasa ketat untuk terbang di bawah radar. Langkah-langkah tersebut meliputi:

• Tidak bekerja di 90 negara, termasuk negara-negara bekas Uni Soviet
• Hanya mengirimkan muatan terakhirnya kepada korban yang menjadi target yang sangat sempit
• Mengandung tombol pemutus yang oleh pengembang dinamakan seppuku (bentuk ritual Jepang)
• bunuh diri) yang menghapus semua jejak malware secara menyeluruh
• Aplikasi umpan yang berfungsi penuh dalam kategori termasuk keuangan, Otomotif & Kendaraan, Pemutar & Editor Video, Seni & Desain, dan Produktivitas
• Perbaikan cepat untuk bug yang dilaporkan dalam komentar
• Bahasa Indonesia: TLS penyematan sertifikat untuk menyembunyikan komunikasi dengan server komando dan kontrol.

Mengintai dalam bayangan

Bitdefender memperkirakan jumlah korban mencapai puluhan ribu pada gelombang 2018 hingga 2020 dan “mungkin ratusan ribu sepanjang periode 4 tahun penuh.”

Setelah laporan Bitdefender tahun 2020, aplikasi yang terinfeksi Mandrake tampaknya menghilang dari Play. Kini, perusahaan keamanan Kaspersky telah melaporkan bahwa aplikasi tersebut muncul kembali pada tahun 2022 dan tidak diketahui hingga kini. Selain serangkaian aplikasi umpan baru, operator Mandrake juga memperkenalkan beberapa langkah untuk menyembunyikan perilaku jahat mereka dengan lebih baik, menghindari analisis dari “kotak pasir” yang digunakan oleh para peneliti untuk mengidentifikasi dan mempelajari malware, dan memerangi perlindungan malware yang diperkenalkan dalam beberapa tahun terakhir.

“Perangkat lunak mata-mata Mandrake berevolusi secara dinamis, meningkatkan metode penyembunyiannya, penghindaran sandbox, dan melewati mekanisme pertahanan baru,” tulis peneliti Kaspersky Tatyana Shishkova dan Igor Golovin. “Setelah aplikasi dari kampanye pertama tidak terdeteksi selama empat tahun, kampanye saat ini mengintai dalam bayang-bayang selama dua tahun, sementara masih tersedia untuk diunduh di Google Play. Hal ini menyoroti keterampilan hebat para pelaku ancaman, dan juga bahwa kontrol yang lebih ketat untuk aplikasi sebelum dipublikasikan di pasar hanya menghasilkan ancaman yang lebih canggih dan lebih sulit dideteksi yang menyelinap ke pasar aplikasi resmi.

Fitur utama Mandrake generasi terbaru adalah beberapa lapisan pengaburan yang dirancang untuk mencegah analisis oleh peneliti dan melewati proses pemeriksaan yang digunakan Google Play untuk mengidentifikasi aplikasi berbahaya. Kelima aplikasi yang ditemukan Kaspersky pertama kali muncul di Play pada tahun 2022 dan tetap tersedia setidaknya selama satu tahun. Aplikasi terbaru diperbarui pada tanggal 15 Maret dan dihapus dari pasar aplikasi akhir bulan itu. Hingga awal bulan ini, tidak ada aplikasi yang terdeteksi sebagai berbahaya oleh penyedia deteksi malware utama mana pun.

Salah satu cara mengaburkan adalah memindahkan fungsi berbahaya ke pustaka asli, yang dikaburkan. Sebelumnya, Mandrake menyimpan logika berbahaya tahap pertama dalam apa yang dikenal sebagai berkas DEX aplikasi, jenis berkas yang mudah dianalisis. Dengan mengalihkan lokasi ke pustaka asli libopencv_dnn.so, kode Mandrake lebih sulit dianalisis dan dideteksi karena pustaka asli lebih sulit diperiksa. Dengan demikian, mengaburkan pustaka asli menggunakan Pengabur OLLVMAplikasi Mandrake bahkan lebih tersembunyi.

Tujuan utama Mandrake adalah untuk mencuri kredensial pengguna dan mengunduh serta menjalankan aplikasi berbahaya tahap berikutnya. Namun, tindakan ini hanya dilakukan pada infeksi tahap selanjutnya yang hanya ditujukan kepada sejumlah kecil target yang dipilih dengan cermat. Metode utamanya adalah dengan merekam layar saat korban memasukkan kode sandi. Perekaman layar dimulai oleh server kontrol yang mengirimkan perintah seperti start_v, start_i, atau start_a. Para peneliti menjelaskan:

Saat Mandrake menerima perintah start_v, layanan tersebut dimulai dan memuat URL yang ditentukan dalam tampilan web milik aplikasi dengan antarmuka JavaScript khusus, yang digunakan aplikasi untuk memanipulasi halaman web yang dimuatnya.

Saat halaman dimuat, aplikasi membuat koneksi websocket dan mulai mengambil tangkapan layar halaman secara berkala, sambil mengodekannya ke string base64 dan mengirimkannya ke server C2. Para penyerang dapat menggunakan perintah tambahan untuk menyesuaikan frame rate dan kualitas. Pelaku ancaman menyebutnya “vnc_stream”. Pada saat yang sama, server C2 dapat mengirim kembali perintah kontrol yang membuat aplikasi menjalankan tindakan, seperti menggeser ke koordinat tertentu, mengubah ukuran dan resolusi tampilan web, beralih antara mode tampilan halaman desktop dan seluler, mengaktifkan atau menonaktifkan eksekusi JavaScript, mengubah Agen Pengguna, mengimpor atau mengekspor cookie, kembali dan maju, menyegarkan halaman yang dimuat, memperbesar halaman yang dimuat, dan seterusnya.

Saat Mandrake menerima perintah start_i, ia memuat URL dalam tampilan web, tetapi alih-alih memulai aliran “VNC”, server C2 mulai merekam layar dan menyimpan rekaman ke dalam sebuah berkas. Proses perekaman serupa dengan skenario “VNC”, tetapi tangkapan layar disimpan ke dalam berkas video. Dalam mode ini, aplikasi menunggu hingga pengguna memasukkan kredensial mereka di halaman web dan kemudian mengumpulkan kuki dari tampilan web.

Perintah start_a memungkinkan menjalankan tindakan otomatis dalam konteks halaman saat ini, seperti menggeser, mengklik, dll. Jika demikian, Mandrake mengunduh skenario otomatisasi dari URL yang ditentukan dalam opsi perintah. Dalam mode ini, layar juga direkam.

Rekaman layar dapat diunggah ke C2 dengan perintah upload_i atau upload_d.

Baik Kaspersky maupun Bitdefender tidak memberikan informasi mengenai kelompok tersebut atau apa motif mereka menyebarkan spyware dan aplikasi pencurian kredensial secanggih Mandrake. Aplikasi yang ditemukan Kaspersky muncul dalam tabel di bawah ini. Google telah menghapusnya dari Play. Indikator tambahan tentang penyusupan dapat ditemukan dalam posting Kaspersky.