Multi-License Discount Quote
Trusseldatabase Mobile Malware Mandrake

Mandrake

Med GoldSparrow i Mobile Malware, Spyware
Oversæt til:
Dansk

Infosec-forskere har afsløret en avanceret kampagne rettet mod Android-brugere i Australien med et værktøj kaldet Mandrake . Selvfølgelig kan cyberskurkene bag Mandrake hacking-værktøjet vælge at ændre deres fokus og målrette mod brugere fra et andet sted i fremtidige kampagner. Mandrake-malwaren dukkede først op i 2016. Lige siden malwareanalytikere opdagede Mandrake-truslen, har dens skabere introduceret regelmæssige opdateringer. Skaberne af Mandrake-truslen har tilføjet nye funktioner, optimeret gamle, fjernet unødvendige moduler og generelt forbedret hackerværktøjet for at sikre, at det forbliver meget potent.

Mandrake indsamler følsomme data fra inficerede enheder

Mandrake malware kan nemt distribueres til tusinder og atter tusinder af brugere . Dets operatører bruger dog ikke massespam-tilgangen. I stedet ser de ud til at vælge deres mål omhyggeligt. Der er kun omkring 500 aktive eksemplarer i øjeblikket. Mandrake-truslen kan klassificeres som spyware, og det ser ud til, at dens forfattere kun implementerer den til mål, der har været overvåget i et stykke tid.

Hvis Mandrake spyware kompromitterer din Android-enhed, vil den kunne udføre en lang række opgaver. Da Mandrake-truslen er opført som spyware, er dens mål at indsamle vigtige oplysninger fra de målrettede værter. Det er sandsynligt, at Mandrake spyware giver dets operatører mulighed for at få fingrene i brugerne:

  • Login-legitimationsoplysninger.
  • Kontaktliste.
  • Billeder og videoer gemt i deres galleri.
  • Bankkontooplysninger.
  • Betalingsoplysninger.
  • Personlige samtaler

    • Med tanke på den brede vifte af oplysninger, som Mandrake-spywaren indsamler, er det sandsynligt, at dets operatører kan bruge det til både afpresningsoperationer og kampagner for økonomisk bedrageri.

    Da hver målrettet bruger ser ud til at blive kontaktet af angriberne forskelligt, er det sandsynligt, at ofrene er udvalgt meget omhyggeligt. Det er sandsynligt, at Mandrake-kampagnen udføres af en meget dygtig og meget erfaren gruppe af cyberkriminelle, som ved, hvad de præcist gør. Sørg for, at din Android-enhed er beskyttet af et ægte, velrenommeret antivirusprogram.

    Evolved Mandrake Mobile Malware er rettet mod Android-brugere

    En ny iteration af det meget sofistikerede Android-spyware , Mandrake, er blevet opdaget lurer inden for fem applikationer i Google Play Butik. Denne spyware formåede at forblive uopdaget i to år.

    Stealthy Infiltration: Apps og deres rækkevidde

    De fem inficerede applikationer blev downloadet mere end 32.000 gange, før de blev fjernet fra Google Play Butik. Størstedelen af disse downloads stammer fra lande, herunder Canada, Tyskland, Italien, Mexico, Spanien, Peru og Storbritannien

    Avanceret undvigelsestaktik

    De nye prøver af Mandrake indeholdt avancerede lag af slørings- og undvigelsesteknikker:

    • Flytning af ondsindet funktionalitet til slørede native biblioteker
    • Brug af certifikatstifting til sikker kommando-og-kontrol-kommunikation (C2).
  • Udførelse af adskillige tests for at opdage, om malwaren kørte på en rootet enhed eller i et emuleret miljø

    • Anti-analyse teknikker

    Mandrakes opdaterede varianter brugte OLLVM (Obfuscation LLVM) til at skjule deres hovedfunktionalitet . Derudover inkorporerede de forskellige sandkasseunddragelse og anti-analyseteknikker for at forhindre opdagelse af malware-analytikere.

    De inficerede applikationer

    De fem applikationer, der er fundet at indeholde Mandrake spyware, er:

    AirFS (com.airft.ftrnsfr)

    Amber (com. shrp . sght )

    Astro Explorer (com.astro.dscvr)

    Brain Matrix (com. brnmth . mtrx )

    CryptoPulsing (com. cryptopulsing .browser)

    Flertrins infektionsproces

    Etape 1: Dropperen

    Den første infektion begynder med en dropper, der starter en læsser. Denne indlæser udfører kernekomponenten af malwaren efter at have downloadet og dekrypteret den fra en C2-server .

    Fase to: Informationsindsamling

    Nyttelasten i andet trin indsamler oplysninger om enheden, herunder:

    • Tilslutningsstatus
    • Installerede applikationer
    • Batteriprocent
    • Ekstern IP-adresse
    • Nuværende Google Play-version

    Derudover kan den slette kernemodulet og anmode om tilladelser til at tegne overlejringer og køre i baggrunden.

    Trin tre: Legitimationstyveri og mere

    Den tredje fase understøtter yderligere kommandoer, såsom:
    Indlæsning af en bestemt URL i en WebView

    Starter en ekstern skærmdelingssession

    Optager enhedens skærm for at stjæle legitimationsoplysninger og slippe mere malware

    Omgå Android 13s 'Begrænsede indstillinger'

    Mandrake anvender et 'sessionsbaseret' pakkeinstallationsprogram til at omgå Android 13's 'Restricted Settings'-funktion, som forbyder sideindlæste applikationer direkte at anmode om usikre tilladelser.

    Konklusion: En trussel i stadig udvikling

    Forskere beskriver Mandrake som en dynamisk udviklende trussel, der løbende raffinerer sine teknikker til at omgå forsvarsmekanismer og undgå opdagelse. Dette viser trusselsaktørernes formidable færdigheder og fremhæver nødvendigheden af strengere kontrol for applikationer, før de offentliggøres på officielle appmarkedspladser.

Trending

Mest sete

Indlæser...