Rimozione del malware di tipo spyware Mandrake dal dispositivo Android
Scitto da Tomas Meskauskas il
Che tipo di malware è Mandrake?
Mandrake è uno spyware che colpisce i dispositivi Android. Il software dannoso di questa categoria è progettato per rubare e registrare le informazioni delle vittime. Uno degli obiettivi principali di Mandrake è quello di acquisire le credenziali di accesso.
Questo malware è in circolazione almeno dal 2016. Nel corso degli anni sono emerse diverse varianti di Mandrake, ma lo scopo principale del programma - il furto di dati - rimane lo stesso.
Le ultime versioni, che vanno dal 2022 al 2024, sono state distribuite attivamente tramite Google Play, con alcune che sono rimaste inosservate per anni e hanno superato i 30.000 download. Le principali regioni bersaglio di Mandrake includono il Nord e il Sud America e l'Europa.
Panoramica del malware Mandrake
Le molteplici varianti di Mandrake hanno lo stesso obiettivo: spiare le vittime e raccogliere dati sensibili. Le versioni più recenti si differenziano in modo significativo per le loro capacità di anti-rilevamento e anti-analisi.
Tra i miglioramenti apportati alla prima vi è il rilevamento se il malware viene lanciato su un dispositivo rootato, su una macchina virtuale o in un ambiente sandbox. Il programma cerca anche gli strumenti utilizzati dagli analisti. Inoltre, queste varianti hanno spostato le loro funzionalità dannose in librerie native offuscate per evitare il rilevamento.
Tutte le versioni note di Mandrake operano in tre fasi: dropper, loader e payload principale. Dopo essersi infiltrato nel dispositivo, lo spyware inizia a raccogliere i dati rilevanti del dispositivo, ad esempio i dettagli di geolocalizzazione (indirizzo IP, ecc.), il nome e l'ID del dispositivo, le informazioni sulla rete mobile, l'elenco delle applicazioni installate e così via.
I dati raccolti vengono poi inviati al server C&C (Command and Control). Se le informazioni sono soddisfacenti per gli aggressori, il malware passa alla fase successiva.
Mandrake può chiedere alle vittime il permesso di visualizzare overlay e di funzionare in background. Ulteriori dati ricercati includono: percentuale della batteria e impostazioni di ottimizzazione, stato della connettività e versione di Google Play. Il malware può attivare il Wi-Fi e mostrare notifiche relative all'installazione di app. Questo programma è in grado di lanciare, nascondere e mostrare la sua applicazione.
Come accennato nell'introduzione, Mandrake mira a estrarre ed esfiltrare le credenziali di accesso (nomi utente/password) di vari account. Lo spyware può caricare overlay interattivi di webview. La webview include un'interfaccia JavaScript personalizzata che viene utilizzata per manipolare il sito web caricato.
Mentre la pagina è in fase di caricamento, Mandrake ne scatta continuamente le schermate. Il malware può quindi ricevere comandi dal suo C&C per eseguire azioni specifiche, come modificare le dimensioni e la risoluzione della webview, cambiare modalità di visualizzazione (tra homescreen e pagina web), scorrere la pagina, scorrere/cliccare su coordinate specifiche, aggiornare il sito, ingrandire/rimpicciolire, ecc.
In alternativa, Mandrake può attivare una modalità di registrazione dello schermo e attendere che le vittime inseriscano le proprie credenziali di accesso. Quando questa attività viene rilevata, lo spyware può raccogliere i cookie del browser dalla vista web.
Va detto che gli sviluppatori di malware spesso migliorano il loro software e i loro metodi. Pertanto, eventuali future iterazioni di Mandrake potrebbero vantare capacità e caratteristiche aggiuntive/differenti.
In sintesi, la presenza di software dannoso come Mandrake sui dispositivi può portare a gravi problemi di privacy, perdite finanziarie significative e furto di identità.
| Nome | Mandrake malware |
| Tipo di minaccia | Malware Android, spyware, applicazione dannosa. |
| Nomi di rilevamento | Kaspersky (HEUR:Trojan-Spy.AndroidOS.Mandrake.j), Symantec Mobile Insight (AdLibrary:Generisk), ZoneAlarm by Check Point (HEUR:Trojan-Spy.AndroidOS.Mandrake.j), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni del sistema vengono modificate senza il permesso dell'utente, compaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta in modo significativo, i browser vengono reindirizzati a siti web discutibili. |
| Metodi di distribuzione | Allegati e-mail infetti, pubblicità online dannose, social engineering, applicazioni ingannevoli, siti web truffa. |
| Danni | Furto di informazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, batteria che si scarica rapidamente, riduzione della velocità di Internet, ingenti perdite di dati, perdite monetarie, furto di identità (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di spyware
Abbiamo scritto di innumerevoli programmi maligni; Kamran, Predator e Bahamut sono solo un paio dei nostri articoli su spyware specifici per Android. La registrazione e il furto di informazioni sono funzionalità standard per diversi tipi di malware.
I software che mirano ai dati possono cercare dettagli incredibilmente ristretti o un'ampia gamma di informazioni. Tuttavia, a prescindere da quali siano i dati a cui mira un programma dannoso, la sua presenza su un sistema minaccia l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere eliminate immediatamente dopo il rilevamento.
Come si è infiltrato Mandrake nel mio dispositivo?
Mandrake è stato ampiamente diffuso attraverso il Google Play Store sotto le sembianze di varie applicazioni utili. Tra il 2022 e il 2024 sono state scoperte cinque applicazioni di questo tipo: "Amber for Genshin","Astro Explorer","CryptPulsing","Brain Matrix" e"AirFS".
Alcune applicazioni sono state ospitate su Google Play per mesi e persino anni. Ad esempio, AirFS - una presunta applicazione per la condivisione di file - è rimasta inosservata per due anni (2022-2024) ed è stata scaricata oltre 30.000 volte.
Tenete presente che altri travestimenti non sono improbabili. Non è raro che gli sviluppatori di malware facciano proliferare le loro creazioni attraverso piattaforme autentiche, in quanto ciò fornisce un'impressione di legittimità. In genere, la presenza di malware su tali canali viene rilevata e rimossa rapidamente; nonostante ciò, i criminali informatici possono trovare abbastanza redditizio continuare ad abusare della piattaforma.
Oltre all'abuso di fonti di download legittime, il malware viene comunemente distribuito tramite canali di download dubbi (ad esempio, siti web di hosting di file freeware e gratuiti, reti di condivisione Peer-to-Peer, app store di terze parti, ecc.), download drive-by (furtivi/ingannevoli), truffe online, allegati/link dannosi nello spam (ad esempio, e-mail, SMS, DM/PM, post sui social media, ecc.), strumenti illegali di attivazione dei programmi ("crack") e falsi aggiornamenti.
Inoltre, alcuni programmi dannosi possono autodiffondersi attraverso le reti locali e i dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, chiavette USB, ecc.).
Come evitare l'installazione di malware?
Raccomandiamo vivamente di effettuare ricerche sul software prima di scaricarlo/acquistarlo, leggendo le condizioni e le recensioni di esperti/utenti, controllando le autorizzazioni necessarie, verificando la legittimità dello sviluppatore, ecc. Inoltre, tutti i download devono essere effettuati da fonti ufficiali e affidabili.
Un'altra raccomandazione è quella di attivare e aggiornare i programmi utilizzando funzioni/strumenti forniti da sviluppatori legittimi, in quanto gli strumenti illegali di attivazione dei prodotti ("cracking") e i programmi di aggiornamento di terze parti possono contenere malware.
Inoltre, le e-mail e gli altri messaggi in arrivo devono essere affrontati con cautela. Gli allegati o i link presenti nelle e-mail sospette/irrilevanti non devono essere aperti, poiché possono essere dannosi. Si consiglia di prestare attenzione durante la navigazione, poiché i contenuti online fraudolenti e pericolosi appaiono in genere genuini e innocui.
È fondamentale installare e tenere aggiornato un antivirus affidabile. Il software di sicurezza deve essere utilizzato per eseguire scansioni regolari del sistema e per rimuovere le minacce e i problemi rilevati.
Aspetto dei travestimenti delle app dannose utilizzati dallo spyware Mandrake (fonte immagine - Kaspersky):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrete verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccatela. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuare i siti Web che forniscono notifiche del browser, toccarli e fare clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Reimpostare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Memoria".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccate il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up che si apre, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Reimpostare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e potrete eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia su rete mobile che su rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Andate su "Impostazioni", scorrete verso il basso fino a visualizzare "Informazioni sul telefono" e toccatelo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrete verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccatelo e quindi toccate "App di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo Android è stato infettato dal malware Mandrake, devo formattare il dispositivo di archiviazione per eliminarlo?
La rimozione del malware raramente richiede la formattazione.
Quali sono i maggiori problemi che il malware Mandrake può causare?
Le minacce associate a un'infezione dipendono dalle capacità del malware e dal modus operandi dei criminali informatici. Mandrake è uno spyware che prende di mira varie credenziali di accesso. In genere, le infezioni di questo tipo possono causare gravi problemi di privacy, perdite finanziarie e furti di identità.
Qual è lo scopo del malware Mandrake?
Il malware viene utilizzato principalmente a scopo di lucro. Tuttavia, i criminali informatici possono utilizzare il software dannoso anche per divertirsi, portare avanti vendette personali, interrompere processi (ad esempio, siti web, servizi, aziende, organizzazioni, ecc.) e lanciare attacchi a sfondo politico/geopolitico.
Come si è infiltrato il malware Mandrake nel mio dispositivo Android?
Mandrake è stato distribuito attivamente tramite Google Play sotto le spoglie di varie applicazioni dall'aspetto innocente. Altri metodi di proliferazione non sono improbabili.
Le tecniche di distribuzione più diffuse includono: download drive-by, e-mail/messaggi di spam, truffe online, malvertising, fonti di download non affidabili (ad esempio, siti di freeware e di terze parti, reti di condivisione P2P, ecc. Alcuni programmi dannosi possono anche diffondersi autonomamente attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi proteggerà dal malware?
Sì, Combo Cleaner è progettato per scansionare i sistemi ed eliminare le minacce. È in grado di rilevare e rimuovere la maggior parte delle infezioni da malware conosciute. Si noti che il software dannoso di fascia alta si nasconde tipicamente nelle profondità dei sistemi, pertanto è fondamentale eseguire una scansione completa del sistema.
Eccezionale!
▼ Mostra Discussione