Multi-License Discount Quote
Banco de Dados de Ameaças Mobile Malware Mandrake

Mandrake

Por GoldSparrow em Mobile Malware, Spyware
Traduzir Para:
Português

Os pesquisadores de Infosec descobriram uma campanha de ponta voltada para usuários do Android localizados na Austrália com uma ferramenta chamada Mandrake . É claro que os cibercriminosos por trás da ferramenta de hacking Mandrake podem optar por mudar seu foco e atingir usuários de um local diferente em campanhas futuras. O malware Mandrake surgiu pela primeira vez em 2016. Desde que os analistas de malware detectaram a ameaça Mandrake, seus criadores têm introduzido atualizações regulares. Os criadores da ameaça Mandrake adicionaram novos recursos, otimizaram os antigos, removeram módulos desnecessários e, em geral , melhoraram a ferramenta de hacking para garantir que ela permanecesse muito potente.

O Mandrake Colhe Dados Confidenciais dos Dispositivos Infectados

O malware Mandrake pode ser distribuído facilmente para milhares e milhares de usuários . No entanto, os seus operadores não estão a adoptar a abordagem do spam em massa. Em vez disso, parecem escolher cuidadosamente os seus alvos. Existem apenas cerca de 500 cópias ativas atualmente. A ameaça Mandrake pode ser classificada como spyware, e parece que seus autores a estão implantando apenas em alvos que foram monitorados há algum tempo.

Se o spyware Mandrake comprometer o seu dispositivo Android, ele será capaz de realizar uma grande variedade de tarefas. Como a ameaça Mandrake está listada como spyware, seu objetivo é coletar informações importantes dos hosts visados. É provável que o spyware Mandrake permita que seus operadores coloquem as mãos nos usuários:

  • Credenciais de login.
  • Lista de contatos.
  • Imagens e vídeos armazenados em sua galeria.
  • Informações de conta bancária.
  • Detalhes do pagamento.
  • Conversas pessoais

Tendo em conta a vasta gama de informações que o spyware Mandrake recolhe, é provável que os seus operadores o utilizem tanto para operações de chantagem como para campanhas de fraude financeira.

Como cada usuário visado parece ser abordado pelos invasores de maneira diferente, é provável que as vítimas sejam selecionadas com muito cuidado. É provável que a campanha Mandrake seja realizada por um grupo de cibercriminosos altamente qualificados e experientes que sabem exatamente o que estão fazendo. Certifique-se de que seu dispositivo Android esteja protegido por um aplicativo antivírus genuíno e confiável.

O Aperfeiçoado Mandrake Mobile Malware Tem como Alvo os Usuários do Android

Uma nova iteração do spyware altamente sofisticado para Android , Mandrake, foi descoberta escondida em cinco aplicativos na Google Play Store. Este spyware conseguiu passar despercebido por dois anos.

Infiltração Furtiva: Os Aplicativos e Seu Alcance

Os cinco aplicativos infectados foram baixados mais de 32 mil vezes antes de serem removidos da Google Play Store. A maioria desses downloads teve origem em países como Canadá, Alemanha, Itália, México, Espanha, Peru e Reino Unido

Táticas Avançadas de Evasão

As novas amostras do Mandrake apresentavam camadas avançadas de técnicas de ofuscação e evasão:

  • Movendo funcionalidades maliciosas para bibliotecas nativas ofuscadas
  • Usando fixação de certificado para comunicações seguras de comando e controle (C2)
  • Realização de vários testes para detectar se o malware estava sendo executado em um dispositivo com acesso root ou em um ambiente emulado

Técnicas Anti-Análise

As variantes atualizadas do Mandrake utilizaram OLLVM (Obfuscation LLVM) para ocultar sua funcionalidade principal . Além disso, eles incorporaram várias técnicas de evasão e antianálise de sandbox para evitar a detecção por analistas de malware.

Os aplicativos infectados
Os cinco aplicativos que contêm spyware Mandrake são:

AirFS (com.airft.ftrnsfr)
Âmbar (com. shrp . visão )

Astro Explorer (com.astro.dscvr)
Matriz Cerebral (com. brnmth . mtrx )
CryptoPulsing (com. cryptopulsing .browser)

Processo dInfecção em Vários Estágios

Estágio Um: O Dropper

A infecção inicial começa com um conta-gotas que lança um carregador. Este carregador executa o componente principal do malware após baixá-lo e descriptografá-lo de um servidor C2 .

Estágio Dois: Coleta de Informações

A carga útil do segundo estágio coleta informações sobre o dispositivo, incluindo:

  • Status de conectividade
  • Aplicativos instalados
  • Porcentagem de bateria
  • Endereço de IP externo
  • Versão atual do Google Play

Além disso, ele pode limpar o módulo principal e solicitar permissões para desenhar sobreposições e executar em segundo plano.
Estágio Três: Roubo de Credenciais e Mais
O terceiro estágio oferece suporte a comandos adicionais, como:

Carregando um URL específico em um WebView
Iniciando uma sessão remota de compartilhamento de tela
Gravar a tela do dispositivo para roubar credenciais e liberar mais malware

Ignorando as ‘Configurações Restritas’ do Android 13

O Mandrake emprega um instalador de pacote ‘baseado em sessão’ para ignorar o recurso ‘Configurações restritas’ do Android 13, que proíbe aplicativos carregados de sidel de solicitar diretamente permissões inseguras.

Conclusão: Uma Ameaça em Constante Evolução

Os pesquisadores descrevem o Mandrake como uma ameaça em evolução dinâmica, refinando continuamente suas técnicas para contornar os mecanismos de defesa e evitar a detecção. Isso mostra as habilidades formidáveis dos atores da ameaça e destaca a necessidade de controles mais rígidos para os aplicativos antes de serem publicados nos mercados oficiais de aplicativos.

Tendendo

Mais visto

Carregando...