Os aplicativos, disfarçados de compartilhamento de arquivos, astronomia e aplicativos de criptomoedas, hospedavam o Mandrake, uma família de malware altamente intrusivo que a empresa de segurança Bitdefender denunciou em 2020. Bitdefender disse que os aplicativos apareceram em duas ondas, uma de 2016 a 2017 e novamente de 2018 a 2020. A capacidade do Mandrake de passar despercebido na época foi resultado de algumas medidas excepcionalmente rigorosas para voar abaixo do radar. Elas incluíam:
– Não funcionar em 90 países, incluindo os que compunham a antiga União Soviética
– Entregar sua carga final apenas para vítimas extremamente direcionadas
– Conter um interruptor de desligamento que os desenvolvedores chamaram de seppuku (forma japonesa de suicídio ritual) que apagava completamente todos os vestígios do malware
– Aplicativos isca totalmente funcionais em categorias como finanças, Automóveis e Veículos, Editores de Vídeo, Arte e Design e Produtividade
– Correções rápidas para bugs relatados nos comentários
– Fixação de certificado TLS para ocultar comunicações com servidores de comando e controle.
Espreitando nas sombras
A Bitdefender estimou o número de vítimas em dezenas de milhares para a onda de 2018 a 2020 e “provavelmente centenas de milhares ao longo de todo o período de 4 anos.”
Redação Confraria Tech
Referências:
Mysterious family of malware hid in Google Play for years