Filmes e séries sobre o cibercrime costumam mostrar vírus e outros malwares como destrutivos e escandalosos, mas na realidade, são os mais discretos e silenciosos que têm mais sucesso. Um exemplo foi uma nova ameaça, batizada de Mandrake, que conseguiu passar anos escondida em aplicativos para Android sem ser detectada.
Segundo os pesquisadores da Bitdefender, o Mandrake era um spyware, desenvolvido com o objetivo de roubar informações de todos os tipos do smartphone, expondo várias informações sensíveis sobre a vítima.
A ameaça estava ativa pelo menos desde 2016, e parece ter sido desenvolvida mirando usuários de Android australianos. Com o tempo, no entanto, as infecções começaram a se espalhar pelo mundo inteiro, com focos especialmente fortes nos Estados Unidos e na Europa.
Para roubar informações do usuário, o Mandrake utilizava-se de várias funções legítimas do Android, mas abusava delas para tomar controle total do usuário. A partir daí, ele conseguia coletar a localização do GPS e gravar a tela do smartphone, tudo sem expor sua atividade para gerar desconfiança, permitindo roubar dados bancários e senhas de acesso a todos os tipos de serviços de internet.
Um dos pontos importantes que fez com que o Mandrake tivesse sucesso por tanto tempo é o fato de ele estar escondido em vários aplicativos no Google Play. Os cibercriminosos chegaram ao ponto de criar múltiplos apps com funcionalidades legítimas, publicados por diferentes empresas de fachada, e mantê-los frequentemente atualizados e livres de anúncios, com o objetivo de manter suas vítimas satisfeitas com o serviço, permitindo que elas fossem espionadas por mais tempo. A loja já removeu os apps após denúncia.
Como a Bitdefender explicou ao site ZDNet, para enganar a detecção do Google Play, a infecção do celular se dava por múltiplas etapas. Quando o usuário fazia a instalação, o aplicativo estava limpo, mas dentro de pouco tempo ele contataria o servidor para baixar a parte maligna, que efetivamente traria prejuízos às vítimas. E, por ter sido baixado voluntariamente, o aplicativo pede permissões abusivas, enganando o usuário a dá-las, oferecendo controle total sobre o sistema.
Os pesquisadores não tentam precisar o número de infectados, no entanto. Segundo eles, a estimativa está entre dezenas de milhares e centenas de milhares de pessoas, o que não é um número muito alto, mas eles especulam que o baixo volume de celulares infectados é parte da estratégia para evitar detecção. Os cibercriminosos também estariam direcionando o ataque para encontrar alvos mais valiosos e evitando alguns territórios. Em países do Leste Europeu, da África e do Oriente Médio, o malware tem instruções para não funcionar, mesmo em caso de infecção.