Mandrake

Изследователите на Infosec разкриха кампания от висок клас, насочена към потребители на Android, намиращи се в Австралия, с инструмент , наречен Mandrake . Разбира се, кибер мошениците зад инструмента за хакване Mandrake може да изберат да променят фокуса си и да се насочат към потребители от друго местоположение в бъдещи кампании. Зловреден софтуер Mandrake се появи за първи път през 2016 г. Откакто анализаторите на зловреден софтуер забелязаха заплахата Mandrake, създателите му въвеждаха редовни актуализации. Създателите на заплахата Mandrake добавиха нови функции, оптимизираха старите, премахнаха ненужните модули и като цяло подобриха инструмента за хакване, за да гарантират, че той остава много мощен.

Mandrake събира чувствителни данни от заразени устройства

Зловреден софтуер Mandrake може лесно да се разпространи до хиляди и хиляди потребители . Неговите оператори обаче не възприемат подхода за масов спам. Вместо това те изглежда внимателно избират целите си. В момента има само около 500 активни копия. Заплахата Mandrake може да се класифицира като шпионски софтуер и изглежда, че нейните автори я внедряват само върху цели, които са били наблюдавани за известно време.

Ако шпионският софтуер Mandrake компрометира вашето Android устройство, то ще може да изпълнява голямо разнообразие от задачи. Тъй като заплахата Mandrake е посочена като шпионски софтуер, нейната цел е да събере важна информация от целевите хостове. Вероятно шпионският софтуер Mandrake позволява на своите оператори да се сдобият с потребителите:

• Идентификационни данни за вход.

• Списък с контакти.

• Изображения и видеоклипове , съхранявани в тяхната галерия.

• Информация за банкова сметка.

• Подробности на плащане.

• Лични разговори

Имайки предвид широкия набор от информация, която шпионският софтуер Mandrake събира, е вероятно неговите оператори да го използват както за изнудване, така и за кампании за финансови измами.

Тъй като нападателите изглежда имат различен подход към всеки целеви потребител, вероятно жертвите са подбрани много внимателно. Вероятно кампанията Mandrake се провежда от висококвалифицирана и много опитна група киберпрестъпници, които знаят какво точно правят. Уверете се, че устройството ви с Android е защитено от оригинално антивирусно приложение с добра репутация.

Еволюиран зловреден софтуер за мобилни устройства Mandrake е насочен към потребителите на Android

Нова итерация на изключително сложния шпионски софтуер за Android , Mandrake, беше открита в рамките на пет приложения в Google Play Store. Този шпионски софтуер успя да остане незабелязан в продължение на две години.

Скрито проникване: Приложенията и техният обхват

Петте заразени приложения са изтеглени повече от 32 000 пъти, преди да бъдат премахнати от Google Play Store. По-голямата част от тези изтегляния произхождат от страни, включително Канада, Германия, Италия, Мексико, Испания, Перу и Обединеното кралство

Разширени тактики за избягване

Новите образци на Mandrake включват усъвършенствани слоеве на техники за замъгляване и избягване:

• • Преместване на злонамерена функционалност към обфусцирани родни библиотеки

• Използване на закрепване на сертификат за защитени командно-контролни (C2) комуникации
• Извършване на многобройни тестове за откриване дали злонамереният софтуер работи на руутнато устройство или в емулирана среда

Техники за антианализ

Актуализираните варианти на Mandrake използваха OLLVM (Obfuscation LLVM), за да скрият основната си функционалност. Освен това те включиха различни техники за избягване на пясъчна среда и анти-анализ, за да предотвратят откриването от анализатори на зловреден софтуер.

Заразените приложения

Петте приложения, за които е установено, че съдържат шпионски софтуер на Mandrake, са:

AirFS (com.airft.ftrnsfr)

Кехлибар (com. shrp . sght )

Astro Explorer (com.astro.dscvr)

Мозъчна матрица (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

Многоетапен процес на заразяване

Първи етап: Капкомерът

Първоначалното заразяване започва с капкомер, който стартира товарач. Този зареждащ инструмент изпълнява основния компонент на зловреден софтуер, след като го изтегли и дешифрира от C2 сървър .

Втори етап: Събиране на информация

Полезният товар от втория етап събира информация за устройството, включително:

• • Състояние на свързаност

• • Инсталирани приложения

• • Процент на батерията

• • Външен IP адрес

• • Текуща версия на Google Play

Освен това може да изтрие основния модул и да поиска разрешения за рисуване на наслагвания и работа във фонов режим.

Трети етап: Кражба на идентификационни данни и други

Третият етап поддържа допълнителни команди, като например:
Зареждане на конкретен URL адрес в WebView

Иницииране на отдалечена сесия за споделяне на екрана

Записване на екрана на устройството за кражба на идентификационни данни и пускане на още зловреден софтуер

Заобикаляне на „Ограничените настройки“ на Android 13

Mandrake използва „базиран на сесия“ инсталатор на пакети, за да заобиколи функцията „Ограничени настройки“ на Android 13, която забранява на странично заредените приложения да изискват директно небезопасни разрешения.

Заключение: Постоянно развиваща се заплаха

Изследователите описват Mandrake като динамично развиваща се заплаха, която непрекъснато усъвършенства своите техники за заобикаляне на защитните механизми и избягване на откриването. Това демонстрира страхотните умения на участниците в заплахата и подчертава необходимостта от по-строг контрол за приложенията, преди те да бъдат публикувани на официалните пазари на приложения.