Multi-License Discount Quote
قاعدة بيانات التهديد Mobile Malware Mandrake

Mandrake

بواسطة GoldSparrow في Mobile Malware, Spyware
ترجمة الى:
العربية

اكتشف باحثو Infosec حملة متطورة تستهدف مستخدمي Android الموجودين في أستراليا باستخدام أداة تسمى Mandrake . بالطبع، قد يختار المحتالون السيبرانيون الذين يقفون وراء أداة القرصنة Mandrake تغيير تركيزهم واستهداف المستخدمين من موقع مختلف في الحملات المستقبلية. ظهرت البرمجيات الخبيثة Mandrake لأول مرة في عام 2016. منذ أن اكتشف محللو البرامج الضارة تهديد Mandrake، ظل منشئوها يقدمون تحديثات منتظمة. أضاف مبتكرو تهديد Mandrake ميزات جديدة، وقاموا بتحسين الميزات القديمة، وأزالوا الوحدات غير الضرورية، وقاموا بشكل عام بتحسين أداة القرصنة لضمان بقائها فعالة للغاية.

يقوم Mandrake بجمع البيانات الحساسة من الأجهزة المصابة

ويمكن توزيع البرمجيات الخبيثة Mandrake على آلاف وآلاف المستخدمين بسهولة . ومع ذلك، فإن مشغليها لا يتبعون نهج البريد العشوائي الجماعي. وبدلاً من ذلك، يبدو أنهم يختارون أهدافهم بعناية. لا يوجد سوى حوالي 500 نسخة نشطة حاليًا. يمكن تصنيف تهديد Mandrake على أنه برنامج تجسس، ويبدو أن مؤلفيه ينشرونه فقط على الأهداف التي تمت مراقبتها لفترة من الوقت.

إذا أدى برنامج التجسس Mandrake إلى اختراق جهاز Android الخاص بك، فسيكون قادرًا على تنفيذ مجموعة كبيرة ومتنوعة من المهام. نظرًا لأن تهديد Mandrake مدرج كبرنامج تجسس، فإن هدفه هو جمع معلومات مهمة من المضيفين المستهدفين. من المحتمل أن برنامج التجسس Mandrake يسمح لمشغليه بوضع أيديهم على المستخدمين:
<ul/ style=";text-align:right;direction:rtl">

  • بيانات اعتماد تسجيل الدخول.

 

  • قائمة جهات الاتصال.

 

  • الصور ومقاطع الفيديو المخزنة في معرض الصور الخاص بهم.

 

  • معلومات الحساب المصرفي.

 

  • بيانات الدفع.

 

  • المحادثات الشخصية

مع الأخذ في الاعتبار المجموعة الواسعة من المعلومات التي يجمعها برنامج التجسس Mandrake، فمن المحتمل أن مشغليه قد يستخدمونه في عمليات الابتزاز وحملات الاحتيال المالي.

نظرًا لأن المهاجمين يتعاملون مع كل مستخدم مستهدف بشكل مختلف، فمن المحتمل أن يتم اختيار الضحايا بعناية فائقة. من المحتمل أن يتم تنفيذ حملة Mandrake من قبل مجموعة من مجرمي الإنترنت ذوي المهارات العالية والخبرة العالية الذين يعرفون ما يفعلونه بالضبط. تأكد من أن جهاز Android الخاص بك محمي بواسطة تطبيق مكافحة فيروسات أصلي وذو سمعة طيبة.

تستهدف البرامج الضارة المتطورة Mandrake Mobile مستخدمي Android

تم اكتشاف نسخة جديدة من برنامج التجسس المتطور للغاية لنظام Android ، Mandrake، كامنًا ضمن خمسة تطبيقات على متجر Google Play. تمكنت برامج التجسس هذه من البقاء غير مكتشفة لمدة عامين.

التسلل الخفي: التطبيقات ومدى وصولها

وتم تنزيل التطبيقات الخمسة المصابة أكثر من 32 ألف مرة قبل إزالتها من متجر Google Play. جاءت غالبية هذه التنزيلات من دول تشمل كندا وألمانيا وإيطاليا والمكسيك وإسبانيا وبيرو والمملكة المتحدة

تكتيكات التهرب المتقدمة

تتميز العينات الجديدة من Mandrake بطبقات متقدمة من تقنيات التشويش والتهرب:

 

    • نقل الوظائف الضارة إلى المكتبات الأصلية المبهمة

 

  • استخدام تثبيت الشهادة لاتصالات القيادة والتحكم الآمنة (C2).
  • إجراء العديد من الاختبارات لاكتشاف ما إذا كانت البرامج الضارة تعمل على جهاز متجذر أو في بيئة تمت محاكاتها

 

تقنيات مكافحة التحليل

استخدمت متغيرات Mandrake المحدثة OLLVM (Obfuscation LLVM) لإخفاء وظائفها الرئيسية . بالإضافة إلى ذلك، قاموا بدمج العديد من تقنيات التهرب من وضع الحماية وتقنيات مكافحة التحليل لمنع اكتشاف محللي البرامج الضارة.

التطبيقات المصابة

التطبيقات الخمسة التي وجد أنها تحتوي على برامج تجسس Mandrake هي:

إيرفس (com.airft.ftrnsfr)

العنبر ( com.shrp .sght )

أسترو إكسبلورر (com.astro.dscvr)

مصفوفة الدماغ ( com.brnmth . mtrx )

CryptoPulsing (com.cryptopulsing .browser )

عملية العدوى متعددة المراحل

المرحلة الأولى: القطارة

تبدأ العدوى الأولية بقطارة تطلق أداة تحميل. يقوم هذا المُحمل بتنفيذ المكون الأساسي للبرامج الضارة بعد تنزيله وفك تشفيره من خادم C2 .

المرحلة الثانية: جمع المعلومات

تقوم حمولة المرحلة الثانية بجمع معلومات حول الجهاز، بما في ذلك:

 

    • حالة الاتصال

 

    • التطبيقات المثبتة

 

    • نسبة البطارية

 

    • عنوان IP الخارجي

 

    • الإصدار الحالي من جوجل بلاي

 

بالإضافة إلى ذلك، يمكنه مسح الوحدة الأساسية وطلب أذونات لرسم التراكبات وتشغيلها في الخلفية.

المرحلة الثالثة: سرقة بيانات الاعتماد والمزيد

المرحلة الثالثة تدعم أوامر إضافية، مثل:
تحميل عنوان URL محدد في WebView

بدء جلسة مشاركة الشاشة عن بعد

تسجيل شاشة الجهاز لسرقة بيانات الاعتماد وإسقاط المزيد من البرامج الضارة

تجاوز “الإعدادات المقيدة” لنظام Android 13

يستخدم Mandrake أداة تثبيت الحزمة "المستندة إلى الجلسة" لتجاوز ميزة "الإعدادات المقيدة" لنظام Android 13، والتي تمنع التطبيقات المحملة جانبيًا من طلب أذونات غير آمنة مباشرة.

الخلاصة: تهديد دائم التطور

يصف الباحثون ماندريك بأنه تهديد متطور ديناميكيًا، ويعمل باستمرار على تحسين تقنياته لتجاوز آليات الدفاع والتهرب من الاكتشاف. ويعرض هذا المهارات الهائلة التي يتمتع بها ممثلو التهديد ويسلط الضوء على ضرورة فرض ضوابط أكثر صرامة على التطبيقات قبل نشرها في أسواق التطبيقات الرسمية.

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
38,342
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...