Ouvrir le menu principal

iGeneration

Recherche

Mandrake, un logiciel malveillant caché dans le Play Store de Google depuis des années

Pierre Dandumont

jeudi 01 août 2024 à 17:00 • 28

Android

Bitdefender et Kaspersky viennent de détailler un logiciel malveillant un peu étonnant, qui cible les smartphones Android à travers le magasin en ligne de Google. Mandrake, son petit nom, est en effet sous les radars depuis plusieurs années.

Ce malware n'a aucun rapport avec une vieille distribution GNU/Linux, et il n'a touché que peu de personnes (de façon relative, il a été installé à travers diverses applications plusieurs dizaines de milliers de fois). Il a été invisible pour plusieurs raisons selon Bitdefender, et elles sont nombreuses. Premièrement, il ne fonctionne pas dans tous les pays et exclut notamment ceux qui faisaient partie de l'Union soviétique. Deuxièmement, il ne s'active visiblement que chez un nombre réduit de personnes (probablement ciblées, donc) et contient une fonction pour s'effacer totalement à la demande. Enfin, il intègre des protections pour éviter d'être détecté par les analystes. Il détecte par exemple les environnements de développement ou les émulateurs.

Bidefender l'a découvert en 2020, dans de nombreuses applications, dédiées au shopping, à l'investissement, dans de fausses applications bancaires, etc. Il a attaqué essentiellement les pays nord-américains, l'Europe et l'Australie et il intègre de nombreuses fonctions, de l'accès aux messages en passant par les appels (et les contacts) et certaines informations comme la localisation. Selon eux, le malware est a priori actif depuis 2016, mais les applications infectées ne sont plus disponibles sur le Play Store de Google. Il peut notamment voler des informations bancaires et des cryptomonnaies.

Une app largement touchée ces dernières années selon Kasperksy.

Kaspersky en a parlé plus récemment, car Mandrake, après avoir à peu près disparu pendant deux ans, a été repéré en 2022. Cette version plus moderne a touché plusieurs dizaines de milliers de personnes (encore) mais elle ne semble plus présente sur le Play Store : cette fois encore, les applications infectées ont été supprimées.

Les deux sociétés ont par ailleurs une conclusion commune : le malware est extrêmement sophistiqué et sa provenance exacte est inconnue (il n'a pas été revendiqué par un groupe) mais il a probablement été conçu en Russie.

illustration magazine 25 ans

MacGeneration a 25 ans !

Participez à la fête et découvrez l’histoire de votre site favori en précommandant notre magazine exclusif.

Je précommande le magazine