Mandrake
Οι ερευνητές της Infosec ανακάλυψαν μια καμπάνια υψηλής τεχνολογίας που στοχεύει χρήστες Android που βρίσκονται στην Αυστραλία με ένα εργαλείο που ονομάζεται Mandrake . Φυσικά, οι απατεώνες του κυβερνοχώρου πίσω από το εργαλείο hacking Mandrake μπορεί να επιλέξουν να αλλάξουν την εστίασή τους και να στοχεύσουν χρήστες από διαφορετική τοποθεσία σε μελλοντικές καμπάνιες. Το κακόβουλο λογισμικό Mandrake εμφανίστηκε για πρώτη φορά το 2016. Από τότε που οι αναλυτές κακόβουλου λογισμικού εντόπισαν την απειλή Mandrake, οι δημιουργοί του παρουσιάζουν τακτικές ενημερώσεις. Οι δημιουργοί της απειλής Mandrake πρόσθεσαν νέες δυνατότητες, βελτιστοποίησαν τις παλιές, αφαίρεσαν τις περιττές μονάδες και συνολικά βελτίωσαν το εργαλείο hacking για να διασφαλίσουν ότι παραμένει πολύ ισχυρό.
Πίνακας περιεχομένων
Το Mandrake συλλέγει ευαίσθητα δεδομένα από μολυσμένες συσκευές
Το κακόβουλο λογισμικό Mandrake μπορεί εύκολα να διανεμηθεί σε χιλιάδες χρήστες . Ωστόσο, οι χειριστές του δεν ακολουθούν την προσέγγιση μαζικών ανεπιθύμητων μηνυμάτων. Αντίθετα, φαίνεται να επιλέγουν τους στόχους τους προσεκτικά. Υπάρχουν μόνο περίπου 500 ενεργά αντίγραφα αυτήν τη στιγμή. Η απειλή Mandrake μπορεί να ταξινομηθεί ως λογισμικό υποκλοπής spyware και φαίνεται ότι οι συντάκτες της την αναπτύσσουν μόνο σε στόχους που παρακολουθούνται για λίγο.
Εάν το λογισμικό υποκλοπής Mandrake υπονομεύσει τη συσκευή σας Android, θα μπορεί να εκτελέσει μια μεγάλη ποικιλία εργασιών. Δεδομένου ότι η απειλή Mandrake αναφέρεται ως λογισμικό υποκλοπής spyware, στόχος της είναι να συλλέξει σημαντικές πληροφορίες από τους στοχευμένους κεντρικούς υπολογιστές. Είναι πιθανό το λογισμικό υποκλοπής Mandrake να επιτρέπει στους χειριστές του να βάλουν στα χέρια τους τους χρήστες:
- Διαπιστευτήρια σύνδεσης.
- Λίστα επαφών.
- Εικόνες και βίντεο αποθηκευμένα στη συλλογή τους.
- Στοιχεία τραπεζικού λογαριασμού.
- Οι λεπτομέρειες πληρωμής.
- Προσωπικές συνομιλίες
Έχοντας υπόψη το ευρύ φάσμα πληροφοριών που συλλέγει το λογισμικό κατασκοπείας Mandrake, είναι πιθανό οι χειριστές του να το χρησιμοποιούν τόσο για εκβιαστικές ενέργειες όσο και για εκστρατείες οικονομικής απάτης.
Δεδομένου ότι κάθε στοχευμένος χρήστης φαίνεται να προσεγγίζεται από τους εισβολείς διαφορετικά, είναι πιθανό τα θύματα να επιλέγονται πολύ προσεκτικά. Είναι πιθανό ότι η εκστρατεία Mandrake διεξάγεται από μια ομάδα υψηλά ειδικευμένων και πολύ έμπειρων εγκληματιών στον κυβερνοχώρο που γνωρίζουν τι ακριβώς κάνουν. Βεβαιωθείτε ότι η συσκευή σας Android προστατεύεται από μια γνήσια, αξιόπιστη εφαρμογή προστασίας από ιούς.
Το Evolved Mandrake Mobile Malware στοχεύει χρήστες Android
Μια νέα επανάληψη του εξαιρετικά εξελιγμένου λογισμικού υποκλοπής Android , Mandrake, ανακαλύφθηκε να κρύβεται μέσα σε πέντε εφαρμογές στο Google Play Store. Αυτό το spyware κατάφερε να παραμείνει απαρατήρητο για δύο χρόνια.
Stealthy Infiltration: The Apps and Their Reach
Οι πέντε μολυσμένες εφαρμογές λήφθηκαν περισσότερες από 32.000 φορές πριν αφαιρεθούν από το Google Play Store. Η πλειοψηφία αυτών των λήψεων προήλθε από χώρες όπως ο Καναδάς, η Γερμανία, η Ιταλία, το Μεξικό, η Ισπανία, το Περού και το Ηνωμένο Βασίλειο
Προηγμένες Τακτικές Αποφυγής
Τα νέα δείγματα του Mandrake περιείχαν προηγμένες στρώσεις τεχνικών συσκότισης και αποφυγής:
-
- Μετακίνηση κακόβουλης λειτουργικότητας σε ασαφείς εγγενείς βιβλιοθήκες
- Χρήση καρφίτσωμα πιστοποιητικού για ασφαλείς επικοινωνίες εντολών και ελέγχου (C2).
- Εκτέλεση πολυάριθμων δοκιμών για τον εντοπισμό εάν το κακόβουλο λογισμικό εκτελούνταν σε συσκευή με ρίζες ή σε περιβάλλον εξομοίωσης
Τεχνικές Αντι-Ανάλυσης
Οι ενημερωμένες παραλλαγές του Mandrake χρησιμοποίησαν το OLLVM (Obfuscation LLVM) για να κρύψουν την κύρια λειτουργικότητά τους. Επιπλέον, ενσωμάτωσαν διάφορες τεχνικές αποφυγής sandbox και αντι-ανάλυσης για να αποτρέψουν τον εντοπισμό από τους αναλυτές κακόβουλου λογισμικού.
Οι μολυσμένες εφαρμογές
Οι πέντε εφαρμογές που βρέθηκαν να περιέχουν λογισμικό υποκλοπής Mandrake είναι:
AirFS (com.airft.ftrnsfr)
Κεχριμπάρι (com. shrp . sght )
Astro Explorer (com.astro.dscvr)
Brain Matrix (com. brnmth . mtrx )
CryptoPulsing (com. cryptopulsing .browser)
Διαδικασία μόλυνσης σε πολλά στάδια
Στάδιο Πρώτο: Το σταγονόμετρο
Η αρχική μόλυνση ξεκινά με ένα σταγονόμετρο που εκτοξεύει έναν φορτωτή. Αυτό το πρόγραμμα φόρτωσης εκτελεί το βασικό στοιχείο του κακόβουλου λογισμικού μετά τη λήψη και την αποκρυπτογράφηση του από έναν διακομιστή C2 .
Στάδιο δεύτερο: Συλλογή πληροφοριών
Το ωφέλιμο φορτίο δεύτερου σταδίου συλλέγει πληροφορίες σχετικά με τη συσκευή, όπως:
-
- Κατάσταση συνδεσιμότητας
-
- Εγκατεστημένες εφαρμογές
-
- Ποσοστό μπαταρίας
-
- Εξωτερική διεύθυνση IP
-
- Τρέχουσα έκδοση Google Play
Επιπλέον, μπορεί να σκουπίσει τη βασική μονάδα και να ζητήσει δικαιώματα για σχεδίαση επικαλύψεων και εκτέλεση στο παρασκήνιο.
Τρίτο Στάδιο: Κλοπή διαπιστευτηρίων και άλλα
Το τρίτο στάδιο υποστηρίζει πρόσθετες εντολές, όπως:
Φόρτωση μιας συγκεκριμένης διεύθυνσης URL σε μια προβολή Web
Έναρξη μιας απομακρυσμένης συνεδρίας κοινής χρήσης οθόνης
Εγγραφή της οθόνης της συσκευής για κλοπή διαπιστευτηρίων και απόθεση περισσότερων κακόβουλων προγραμμάτων
Παράκαμψη των «Περιορισμένων ρυθμίσεων» του Android 13
Το Mandrake χρησιμοποιεί ένα πρόγραμμα εγκατάστασης πακέτων "βασισμένο σε περιόδους σύνδεσης" για να παρακάμψει τη λειτουργία "Περιορισμένες ρυθμίσεις" του Android 13, η οποία απαγορεύει στις παραφορτωμένες εφαρμογές να ζητούν απευθείας μη ασφαλείς άδειες.
Συμπέρασμα: Μια διαρκώς εξελισσόμενη απειλή
Οι ερευνητές περιγράφουν το Mandrake ως μια δυναμικά εξελισσόμενη απειλή, που βελτιώνει συνεχώς τις τεχνικές του για να παρακάμψει τους αμυντικούς μηχανισμούς και να αποφύγει τον εντοπισμό. Αυτό δείχνει τις τρομερές δεξιότητες των παραγόντων απειλών και υπογραμμίζει την ανάγκη για αυστηρότερους ελέγχους για τις εφαρμογές προτού δημοσιευθούν σε επίσημες αγορές εφαρμογών.
