Ce malware pour Android est resté discret pendant des années, et a infecté des dizaines de milliers de smartphones

Le logiciel espion Mandrake permet d’accéder à tout ce qui se trouve sur l’appareil compromis lors d’attaques. L’attaquant peut regarder et collecter toutes les données sur l’appareil, voler des identifiants de comptes, y celles des applications bancaires. Il peut enregistrer l’activité de l’écran, suivre la position GPS de l’utilisateur et bien plus encore, tout en couvrant continuellement ses traces.

Les capacités complètes de Mandrake – qui a été observé en ciblant des utilisateurs d’Android en Europe et en Amérique – sont détaillées dans un document de chercheurs en cybersécurité de Bitdefender. Mandrake est actif depuis 2016 et des chercheurs avaient déjà détaillé comment l’opération visait spécifiquement les utilisateurs australiens. Il semble désormais que l’on puisse dénombrer des victimes dans le monde entier.

“Le but ultime de Mandrake est le contrôle total de l’appareil”

“Le but ultime de Mandrake est le contrôle total de l’appareil, ainsi que la compromission de compte. C’est l’un des logiciels malveillants Android les plus puissants que nous ayons vus jusqu’à présent”, a déclaré Bogdan Botezatu, directeur de la recherche de Bitdefender, à ZDNet.

On ne sait pas exactement quelle est l’ampleur des campagnes, mais les logiciels malveillants ici ne sont pas diffusés par spam comme dans les autres campagnes – les attaquants semblent choisir soigneusement leurs victimes et, une fois qu’ils ont trouvé un moyen de les infecter, ils contrôlent manuellement les actions de Mandrake afin de collecter le plus d’informations possible sur l’utilisateur.

“Nous estimons le nombre de victimes à plusieurs dizaines de milliers pour la vague actuelle, et probablement à des centaines de milliers pour toute la période de quatre ans”, a déclaré la société. Et quand les attaquants ont obtenu toutes les informations qu’ils voulaient de la victime, Mandrake possède un interrupteur qui efface le malware de l’appareil.

Les opérateurs de Mandrake ont fait de sérieux efforts pour s’assurer de rester caché au fil des ans

Les opérateurs de Mandrake ont fait de sérieux efforts pour s’assurer de rester caché au fil des ans, allant même jusqu’à développer, télécharger et maintenir plusieurs applications sur le Google Play Store – sous le nom de plusieurs développeurs différents. Certaines de ces applications ont même été conçues pour cibler des pays spécifiques. Les applications ont à présent été supprimées. Afin de satisfaire les utilisateurs, les applications étaient pour la plupart exemptes de publicité et des correctifs étaient régulièrement fournis. Certaines de ces applications avaient même des pages de réseaux sociaux, toutes conçues pour convaincre les utilisateurs de les télécharger et de leur faire confiance.

Le malware évite la détection par Google Play en utilisant un processus en plusieurs étapes pour cacher la charge utile. L’application est installée sur le téléphone et contacte ensuite le serveur pour télécharger un chargeur, qui fournit alors les capacités supplémentaires dont Mandrake a besoin pour prendre le contrôle de l’appareil.

“Le logiciel malveillant fonctionne par étapes, la première étape étant une application inoffensive sans comportement malveillant, autre que la capacité de télécharger et d’installer une charge utile à la deuxième étape lorsque cela est expressément demandé. On peut affirmer sans risque que son opérateur ne déclenchera pas ce comportement malveillant lorsqu’il fonctionnera dans l’environnement d’analyse de Google”, a expliqué M. Botezatu.

La campagne Mandrake est probablement toujours en cours

Le logiciel malveillant incite l’utilisateur à lui fournir des privilèges supplémentaires sur l’appareil. “Ce qui semble être un processus simple, comme passer un accord de licence d’utilisateur final et l’accepter, se traduit en fait en coulisses par la demande et l’octroi d’autorisations extrêmement puissantes. Avec ces autorisations, le malware obtient le contrôle total de l’appareil et des données qu’il contient”, a déclaré M. Botezatu.

Bien que l’on ne sache pas encore exactement qui est visé par Mandrake et pourquoi, les attaquants ont été très vite conscients que s’ils l’utilisaient trop, leur campagne aurait plus de chances d’être découverte. Bien que l’on ne puisse pas savoir avec certitude qui dirige exactement l’opération derrière Mandrake, le malware évite spécifiquement de fonctionner sur des appareils des pays de l’ex-Union soviétique, d’Afrique et du Moyen-Orient. Les chercheurs notent que certains des premiers pays exemptés des attaques de Mandrake ont été l’Ukraine, le Biélorussie, le Kirghizistan et l’Ouzbékistan.

ZDNet a contacté Google pour obtenir des commentaires mais n’a pas reçu de réponse au moment de la rédaction du présent article.

La campagne Mandrake est probablement toujours en cours et ce n’est probablement qu’une question de temps avant que ceux qui la soutiennent ne tentent de distribuer de nouvelles applications pour faire télécharger le malware. Pour éviter d’être victime d’une telle campagne, les utilisateurs doivent s’assurer qu’ils font confiance à la société qui a développé l’application qu’ils téléchargent. Il est parfois préférable d’éviter de télécharger des applications à partir de nouvelles sources, même si elles se trouvent dans un magasin de téléchargement officiel.