Bitdefender et Kaspersky viennent de détailler un logiciel malveillant un peu étonnant, qui cible les smartphones Android à travers le magasin en ligne de Google. Mandrake, son petit nom, est en effet sous les radars depuis plusieurs années.
Ce malware n'a aucun rapport avec une vieille distribution GNU/Linux, et il n'a touché que peu de personnes (de façon relative, il a été installé à travers diverses applications plusieurs dizaines de milliers de fois). Il a été invisible pour plusieurs raisons selon Bitdefender, et elles sont nombreuses. Premièrement, il ne fonctionne pas dans tous les pays et exclut notamment ceux qui faisaient partie de l'Union soviétique. Deuxièmement, il ne s'active visiblement que chez un nombre réduit de personnes (probablement ciblées, donc) et contient une fonction pour s'effacer totalement à la demande. Enfin, il intègre des protections pour éviter d'être détecté par les analystes. Il détecte par exemple les environnements de développement ou les émulateurs.
Bidefender l'a découvert en 2020, dans de nombreuses applications, dédiées au shopping, à l'investissement, dans de fausses applications bancaires, etc. Il a attaqué essentiellement les pays nord-américains, l'Europe et l'Australie et il intègre de nombreuses fonctions, de l'accès aux messages en passant par les appels (et les contacts) et certaines informations comme la localisation. Selon eux, le malware est a priori actif depuis 2016, mais les applications infectées ne sont plus disponibles sur le Play Store de Google. Il peut notamment voler des informations bancaires et des cryptomonnaies.
Kaspersky en a parlé plus récemment, car Mandrake, après avoir à peu près disparu pendant deux ans, a été repéré en 2022. Cette version plus moderne a touché plusieurs dizaines de milliers de personnes (encore) mais elle ne semble plus présente sur le Play Store : cette fois encore, les applications infectées ont été supprimées.
Les deux sociétés ont par ailleurs une conclusion commune : le malware est extrêmement sophistiqué et sa provenance exacte est inconnue (il n'a pas été revendiqué par un groupe) mais il a probablement été conçu en Russie.
