Multi-License Discount Quote
Databáze hrozeb Mobile Malware Mandrake

Mandrake

V roce GoldSparrow v roce Mobile Malware, Spyware
Přeložit do:
Čeština

Výzkumníci společnosti Infosec odhalili špičkovou kampaň zaměřenou na uživatele Androidu v Austrálii s nástrojem nazvaným Mandrake . Počítačoví podvodníci za hackerským nástrojem Mandrake se samozřejmě mohou v budoucích kampaních rozhodnout změnit své zaměření a zacílit na uživatele z jiného místa. Malware Mandrake se poprvé objevil v roce 2016. Od chvíle, kdy analytici malwaru zaznamenali hrozbu Mandrake, jeho tvůrci zavádějí pravidelné aktualizace. Tvůrci hrozby Mandrake přidali nové funkce, optimalizovali ty staré, odstranili nepotřebné moduly a celkově vylepšili hackerský nástroj, aby zajistili, že zůstane velmi účinný.

Mandrake shromažďuje citlivá data z infikovaných zařízení

Malware Mandrake lze snadno distribuovat tisícům a tisícům uživatelů . Jeho provozovatelé se však k hromadnému spamu nepřiklánějí . Místo toho se zdá, že si pečlivě vybírají své cíle. V současné době je aktivních pouze asi 500 kopií. Hrozbu Mandrake lze klasifikovat jako spyware a zdálo by se, že ji její autoři nasazují pouze na cíle, které jsou chvíli sledovány .

Pokud spyware Mandrake ohrozí vaše zařízení Android, bude schopno provádět širokou škálu úkolů. Vzhledem k tomu, že hrozba Mandrake je uvedena jako spyware, jejím cílem je shromažďovat důležité informace od cílových hostitelů. Je pravděpodobné, že spyware Mandrake umožňuje svým operátorům dostat se do rukou uživatelů:

  • Přihlašovací údaje.

 

  • Seznam kontaktů.

 

  • Obrázky a videa uložené v jejich galerii.

 

  • Informace o bankovním účtu.

 

  • Platební údaje.

 

  • Osobní rozhovory

Vzhledem k širokému spektru informací, které spyware Mandrake shromažďuje, je pravděpodobné, že jej jeho operátoři mohou používat jak pro vydírání, tak pro kampaně za finanční podvody.

Vzhledem k tomu, že se zdá, že ke každému cílovému uživateli útočníci přistupují jinak, je pravděpodobné, že oběti jsou vybírány velmi pečlivě. Je pravděpodobné, že kampaň Mandrake provádí vysoce kvalifikovaná a velmi zkušená skupina kyberzločinců, kteří přesně vědí, co dělají. Ujistěte se, že je vaše zařízení Android chráněno originální antivirovou aplikací s dobrou pověstí.

Evolved Mandrake Mobile Malware cílí na uživatele Androidu

V pěti aplikacích v Obchodě Google Play byla objevena nová iterace vysoce sofistikovaného spywaru pro Android , Mandrake . Tento spyware dokázal zůstat nezjištěný po dobu dvou let.

Tajná infiltrace: Aplikace a jejich dosah

Pět infikovaných aplikací bylo staženo více než 32 000krát, než byly odstraněny z obchodu Google Play. Většina těchto stahování pocházela ze zemí včetně Kanady, Německa, Itálie, Mexika, Španělska, Peru a Spojeného království

Pokročilá úniková taktika

Nové vzorky Mandrake obsahovaly pokročilé vrstvy matování a únikových technik:

 

    • Přesouvání škodlivých funkcí do zatemněných nativních knihoven

 

  • Použití připínání certifikátu pro zabezpečenou komunikaci příkazů a řízení (C2).
  • Provádění četných testů ke zjištění, zda malware běžel na zakořeněném zařízení nebo v emulovaném prostředí

 

Antianalytické techniky

Aktualizované varianty Mandrake využívaly OLLVM (Obfuscation LLVM), aby skryly své hlavní funkce. Kromě toho začlenili různé techniky vyhýbání se karanténě a antianalytické techniky, aby zabránily detekci malwarovými analytiky.

Infikované aplikace

Bylo zjištěno, že pět aplikací obsahuje spyware Mandrake:

AirFS (com.airft.ftrnsfr)

Amber (com. shrp . sght )

Astro Explorer (com.astro.dscvr)

Brain Matrix (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

Vícefázový infekční proces

První fáze: Kapátko

Počáteční infekce začíná kapátkem, který spustí nakladač. Tento zavaděč spustí základní součást malwaru po jeho stažení a dešifrování ze serveru C2 .

Druhá fáze: Shromažďování informací

Užitná zátěž druhé fáze shromažďuje informace o zařízení, včetně:

 

    • Stav připojení

 

    • Nainstalované aplikace

 

    • Procento baterie

 

    • Externí IP adresa

 

    • Aktuální verze Google Play

 

Kromě toho může vymazat základní modul a požádat o oprávnění k vykreslování překryvů a spuštění na pozadí.

Třetí fáze: Krádež pověření a další

Třetí fáze podporuje další příkazy, jako například:
Načítání konkrétní adresy URL ve WebView

Zahájení relace vzdáleného sdílení obrazovky

Nahrávání obrazovky zařízení za účelem krádeže přihlašovacích údajů a odstranění dalšího malwaru

Obcházení „Omezených nastavení“ systému Android 13

Mandrake využívá instalátor balíčků „založený na relaci“, aby obešel funkci „Omezená nastavení“ systému Android 13, která zakazuje aplikacím staženým z počítače přímo vyžadovat nebezpečná oprávnění.

Závěr: Stále se vyvíjející hrozba

Výzkumníci popisují Mandrake jako dynamicky se vyvíjející hrozbu a neustále zdokonalují své techniky, aby obcházely obranné mechanismy a vyhýbaly se detekci. To ukazuje impozantní dovednosti aktérů hrozeb a zdůrazňuje nutnost přísnější kontroly aplikací před jejich zveřejněním na oficiálních tržištích aplikací.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
38,342
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...