Multi-License Discount Quote
Base de dades d'amenaces Mobile Malware Mandrake

Mandrake

El GoldSparrow el Mobile Malware, Spyware
Traduir a:
Català

Els investigadors de Infosec han descobert una campanya de gamma alta dirigida als usuaris d'Android situats a Austràlia amb una eina anomenada Mandrake . Per descomptat, els ciberdelinqüents que hi ha darrere de l'eina de pirateria Mandrake poden optar per canviar el seu enfocament i orientar-se als usuaris des d'una ubicació diferent en campanyes futures. El programari maliciós Mandrake va sorgir per primera vegada el 2016. Des que els analistes de programari maliciós van detectar l'amenaça de Mandrake, els seus creadors han anat introduint actualitzacions periòdiques. Els creadors de l'amenaça Mandrake han afegit funcions noves, han optimitzat les antigues, han eliminat mòduls innecessaris i, en general, han millorat l'eina de pirateria per garantir que segueixi sent molt potent.

Mandrake recopila dades sensibles de dispositius infectats

El programari maliciós Mandrake es pot distribuir fàcilment a milers i milers d'usuaris . Tanmateix, els seus operadors no adopten l'enfocament de correu brossa massiu. En canvi, semblen triar els seus objectius amb cura. Actualment només hi ha unes 500 còpies actives. L'amenaça Mandrake es pot classificar com a programari espia, i sembla que els seus autors només l'estan desplegant a objectius que s'han monitoritzat durant un temps.

Si el programari espia Mandrake compromet el vostre dispositiu Android, serà capaç de realitzar una gran varietat de tasques. Com que l'amenaça Mandrake apareix com a programari espia, el seu objectiu és recollir informació important dels amfitrions objectiu. És probable que el programari espia Mandrake permeti als seus operadors posar les mans als usuaris:

  • Credencials d'inici de sessió.

 

  • Llista de contactes.

 

  • Imatges i vídeos emmagatzemats a la seva galeria.

 

  • Informació del compte bancari.

 

  • Detalls del pagament.

 

  • Converses personals

Tenint en compte l'ampli ventall d'informació que recull el programari espia Mandrake, és probable que els seus operadors l'utilitzin tant per a operacions de xantatge com per a campanyes de frau financer.

Com que els atacants s'acosten a cada usuari objectiu de manera diferent, és probable que les víctimes siguin seleccionades amb molta cura. És probable que la campanya de Mandrake la faci un grup de ciberdelinqüents altament qualificats i molt experimentats que saben què estan fent exactament. Assegureu-vos que el vostre dispositiu Android estigui protegit per una aplicació antivirus genuïna i de bona reputació.

El programari maliciós mòbil Mandrake evolucionat s’adreça als usuaris d’Android

S'ha descobert una nova iteració del programari espia d'Android molt sofisticat , Mandrake, que s'amaga dins de cinc aplicacions a Google Play Store. Aquest programari espia va aconseguir romandre sense ser detectat durant dos anys.

Infiltració furtiva: les aplicacions i el seu abast

Les cinc aplicacions infectades es van baixar més de 32.000 vegades abans de ser eliminades de Google Play Store. La majoria d'aquestes descàrregues provenen de països com el Canadà, Alemanya, Itàlia, Mèxic, Espanya, Perú i el Regne Unit

Tàctiques d'evasió avançades

Les noves mostres de Mandrake presentaven capes avançades d'ofuscació i tècniques d'evasió:

 

    • Trasllat de funcionalitats malicioses a biblioteques natives ofuscades

 

  • Ús de la fixació de certificats per a comunicacions segures de comandament i control (C2).
  • Realització de nombroses proves per detectar si el programari maliciós s'està executant en un dispositiu arrelat o en un entorn emulat

 

Tècniques antianàlisi

Les variants actualitzades de Mandrake utilitzaven OLLVM (Obfuscation LLVM) per ocultar la seva funcionalitat principal . A més, van incorporar diverses tècniques d'evasió sandbox i antianàlisi per evitar la detecció per part dels analistes de programari maliciós.

Les aplicacions infectades

Les cinc aplicacions que s'han trobat que contenen programari espia Mandrake són:

AirFS (com.airft.ftrnsfr)

Ambre (com. shrp . sght )

Astro Explorer (com.astro.dscvr)

Brain Matrix (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

Procés d’infecció en diverses etapes

Primera etapa: El comptegotes

La infecció inicial comença amb un comptagotes que llança un carregador. Aquest carregador executa el component bàsic del programari maliciós després de descarregar-lo i desxifrar-lo des d'un servidor C2 .

Segona fase: recollida d'informació

La càrrega útil de la segona etapa recopila informació sobre el dispositiu, com ara:

 

    • Estat de connectivitat

 

    • Aplicacions instal·lades

 

    • Percentatge de bateria

 

    • Adreça IP externa

 

    • Versió actual de Google Play

 

A més, pot esborrar el mòdul bàsic i sol·licitar permisos per dibuixar superposicions i executar-se en segon pla.

Tercera etapa: robatori de credencials i més

La tercera etapa admet ordres addicionals, com ara:
Carregant un URL específic en una WebView

Iniciant una sessió remota per compartir la pantalla

Enregistrament de la pantalla del dispositiu per robar credencials i deixar anar més programari maliciós

Evitant la “Configuració restringida” d’Android 13

Mandrake utilitza un instal·lador de paquets "basat en sessió" per evitar la funció "Configuració restringida" d'Android 13, que prohibeix que les aplicacions de càrrega lateral sol·licitin directament permisos no segurs.

Conclusió: una amenaça en constant evolució

Els investigadors descriuen Mandrake com una amenaça en evolució dinàmica, perfeccionant contínuament les seves tècniques per evitar els mecanismes de defensa i eludir la detecció. Això mostra les formidables habilitats dels actors d'amenaça i posa de manifest la necessitat de controls més estrictes de les aplicacions abans que es publiquin als mercats d'aplicacions oficials.

Tendència

Més vist

Carregant...