It-säkerhetsföretaget Bitdefender utger sig i ett pressmeddelande för att ha upptäckt ett spionprogram för Androidenheter som lyckats hålla sig dolt i fyra års tid. Spionprogrammet, som Bitdefender namngivit till Mandrake, har distribuerats via Google Play och lyckats ta sig förbi säkerhetskontrollerna på ett mycket raffinerat sätt.

Det är de cyberkriminella bakom Mandrake som utvecklat de infekterade appar som kunnat installeras från Google Play. Apparna smittar offrens enheter så fort de installerats. Apparna döljer funktionen att godkänna appens rättigheter på enheten bakom andra funktioner. Apparna får då direkt åtkomst till hela enheten. Utvecklarna av Mandrake har sedan hållit sig för att attackera användaren på en gång eller fullt ut. De har istället försiktigt analyserat om offret är mödan (och risken) värd.

Full tillgång till kamera och mikrofon

För intressanta offer har förövarna sedan utökat attacken med nya funktioner som stjäl känslig information och inte minst pengar genom att ta över enheten och utföra transaktioner. Förövarna har även utsatt offren för utpressning, inte minst genom att de har haft full tillgång till enhetens mikrofon, kamera och position. Även bankernas tvåfaktorautentisering har förövarna många gånger lyckats komma förbi.

Apparna har verkat mycket verklighetstrogna av den anledningen att de fungerar som vilken app som helst. Det som är speciellt med dessa appar är att vissa av dem har associerade webbplatser, sociala mediesidor, till exempel på Facebook och Twitter, eller till och med en Youtube-kanal, allt för att övertyga användare om att appen är pålitlig. Dessutom är dessa appar fullt funktionella, de uppdateras med nya funktioner och svarar till och med på negativa recensioner där förövarna löser problemen som användarna rapporterar.

– Eftersom brottslingarna har varit mycket försiktiga med vem de har genomfört de fullständiga attackerna mot har de lyckats flyga under radarn fram tills nu. De har uppenbarligen infört en strategi där det inte handlar om att smitta så många människor som möjligt utan att hitta så värdefulla offer som möjligt. Vi kan se att spionprogrammet är utformat så att det inte fungerar om det installeras av användare i låginkomstländer och länder där majoriteten talar arabiska, säger Bogdan Botezatu, senior säkerhetsexpert på Bitdefender.

Ekonomiskt motiverade aktörer bakom

– Även om Mandrake innehåller allt som en professionell spionprogramplattform bör innehålla, tror vi att personerna bakom är ekonomiskt motiverade, till skillnad från andra typer av spyware som oftast används av statliga aktörer, säger Bogdan Botezatu.

Bitdefender uppskattar att cirka 100 000 enheter smittats i främst Europa, Australien och Nordamerika. De infekterade apparna är Abfix, CoinCast, SnapTune Vid, Currency XE-converter, Office Scanner, Horoskope och Car News. Som synes en ganska bred flora av olika typer av appar.

Bitdefender skriver att om man laddat ner en infekterad app finns det bara ett sätt att ta bort appen: Starta enheten i säkert läge, inaktivera appens behörighet som enhetsadministratör och radera sedan appen manuellt.

Läs också:
Google uppdaterar Authenticator – nu kan du äntligen synka mellan enheter
Ryskt ransomware porrhotar Android-användare