Mandrake, Aplikasi Mata-mata yang Sempat Sembunyi di Google Play

Temuan Kaspesky

Deteksi terhadap varian baru Mandrake baru terendus pada April 2024. Peneliti Kaspersky menemukan sampel mencurigakan yang menunjukkan versi baru Mandrake dengan fungsionalitas ditingkatkan.

Sampel baru pun menampilkan teknik pengaburan tingkat lanjut, termasuk mengalihkan fungsi berbahaya ke pustaka asli yang dikaburkan menggunakan OLLVM.

Penyebarnya menerapkan penyematan sertifikat untuk komunikasi yang aman dengan server perintah dan kontrol (C2). Begitu juga, pelakunya melakukan pemeriksaan ekstensif untuk mendeteksi apakah Mandrake beroperasi pada perangkat yang di-rooting atau dalam lingkungan yang diemulasi.

Sementara itu, fitur pembeda utama dari varian Mandrake baru adalah penambahan teknik pengaburan canggih yang dirancang untuk melewati pemeriksaan keamanan Google Play dan menghalangi analisis.

Namun, pakar Kaspersky pun akhirnya mampu mengidentifikasi lima aplikasi yang berisi spyware Mandrake di Google Play. Uniknya, kelimanya dipublikasikan Google Play secara resmi pada 2022 untuk diunduh setidaknya satu tahun.

Hal itu bisa terjadi karena Mandrake disajikan/disamarkan sebagai aplikasi berbagi fail melalui Wi-Fi, aplikasi layanan astronomi, game Amber for Genshin, aplikasi aset kripto, dan aplikasi dengan teka-teki logika.

Terkini, setelah terdeteksi, Mandrake pun sudah tidak tersedia lagi di Google Play. Namun, aplikasi  diduga sudah terlanjur tersedia di berbagai negara yang  mayoritas mengunduhnnya, yakni Kanada, Jerman, Italia, Meksiko, Spanyol, Peru, dan Inggris.