Multi-License Discount Quote
Ohtude andmebaas Mobile Malware Mandrake

Mandrake

Aastaks GoldSparrow aastal Mobile Malware, Spyware
Tõlgi:
Eesti

Infoseci teadlased on avastanud tipptasemel kampaania, mis sihib Austraalias asuvaid Androidi kasutajaid tööriistaga Mandrake . Muidugi võivad Mandrake'i häkkimistööriista taga olevad küberkelmid otsustada oma fookust muuta ja tulevaste kampaaniate käigus sihtida kasutajaid teisest asukohast. Mandrake'i pahavara ilmus esmakordselt aastal 2016. Alates sellest, kui pahavaraanalüütikud märkasid Mandrake'i ohu, on selle loojad juurutanud regulaarseid värskendusi. Mandrake'i ohu loojad on lisanud uusi funktsioone, optimeerinud vanu, eemaldanud mittevajalikud moodulid ja üldiselt parandanud häkkimistööriista, et tagada selle väga tõhus püsimine.

Mandrake kogub nakatunud seadmetest tundlikke andmeid

Mandrake'i pahavara saab hõlpsasti levitada tuhandetele ja tuhandetele kasutajatele . Selle operaatorid ei kasuta aga massilise rämpsposti lähenemist. Selle asemel näib, et nad valivad oma sihtmärgid hoolikalt. Praegu on aktiivne ainult umbes 500 eksemplari. Mandrake'i ohtu võib liigitada nuhkvaraks ja tundub, et selle autorid kasutavad seda ainult sihtmärkidele, mida on mõnda aega jälgitud .

Kui Mandrake'i nuhkvara ohustab teie Android-seadet, suudab see täita paljusid erinevaid ülesandeid. Kuna Mandrake'i oht on loetletud nuhkvarana, on selle eesmärk koguda sihitud hostidelt olulist teavet. On tõenäoline, et Mandrake'i nuhkvara võimaldab selle operaatoritel kasutajatele käed külge panna:

  • Sisselogimismandaadid.
  • Kontaktide loend.
  • Nende galeriis salvestatud pildid ja videod .
  • Pangakonto andmed.
  • Makse andmed.
  • Isiklikud vestlused

    • Arvestades Mandrake'i nuhkvara kogutavat suurt hulka teavet, on tõenäoline, et selle operaatorid võivad seda kasutada nii väljapressimisoperatsioonideks kui ka finantspettuste kampaaniateks.

    Kuna igale sihitud kasutajale näivad ründajad lähenevat erinevalt, on tõenäoline, et ohvreid valitakse väga hoolikalt. Tõenäoliselt viib Mandrake'i kampaania läbi kõrgelt kvalifitseeritud ja väga kogenud küberkurjategijate rühm, kes teavad täpselt, mida nad teevad. Veenduge, et teie Android-seadet kaitseb ehtne mainekas viirusetõrjerakendus.

    Arenenud Mandrake'i mobiili pahavara sihib Androidi kasutajaid

    Google Play poe viies rakenduses on avastatud ülimalt keeruka Androidi nuhkvara Mandrake uus iteratsioon . See nuhkvara suutis kaks aastat avastamata jääda .

    Salajane sissetung: rakendused ja nende ulatus

    Viis nakatunud rakendust laaditi alla rohkem kui 32 000 korda, enne kui need Google Play poest eemaldati. Enamik neist allalaadimistest pärines sellistest riikidest nagu Kanada, Saksamaa, Itaalia, Mehhiko, Hispaania, Peruu ja Ühendkuningriik

    Täiustatud kõrvalehoidmistaktika

    Mandrake'i uued näidised sisaldasid täiustatud hägustamise ja kõrvalehoidmise tehnikate kihte:

    • Pahatahtlike funktsioonide teisaldamine ähmastatud algteekidesse
    • Sertifikaadi kinnitamise kasutamine turvaliseks käsu- ja juhtimiseks (C2) suhtluseks
  • Arvukate testide läbiviimine, et tuvastada, kas pahavara töötas juurdunud seadmes või emuleeritud keskkonnas

    • Analüüsivastased tehnikad

    Mandrake'i uuendatud variandid kasutasid oma põhifunktsioonide varjamiseks OLLVM-i (Obfuscation LLVM ) . Lisaks kasutasid nad mitmesuguseid liivakastist kõrvalehoidmise ja analüüsivastaseid tehnikaid, et vältida pahavara analüütikute tuvastamist.

    Nakatunud rakendused

    Viis Mandrake'i nuhkvara sisaldavat rakendust on järgmised:

    AirFS (com.airft.ftrnsfr)

    Merevaik (com. shrp . sght )

    Astro Explorer (com.astro.dscvr)

    Brain Matrix (com. brnmth . mtrx )

    CryptoPulsing (com. cryptopulsing .browser)

    Mitmeastmeline nakkusprotsess

    Esimene etapp: tilguti

    Esialgne nakatumine algab tilgutiga, mis käivitab laaduri. See laadija käivitab pahavara põhikomponendi pärast selle allalaadimist ja dekrüpteerimist C2-serverist .

    Teine etapp: teabe kogumine

    Teise etapi kasulik koormus kogub seadme kohta teavet, sealhulgas:

    • Ühenduse olek
    • Installitud rakendused
    • Aku protsent
    • Väline IP-aadress
    • Praegune Google Play versioon

    Lisaks saab see kustutada põhimooduli ja taotleda luba ülekatete joonistamiseks ja taustal töötamiseks.

    Kolmas etapp: volikirja vargus ja palju muud

    Kolmas etapp toetab täiendavaid käske, näiteks:
    Konkreetse URL-i laadimine WebView'sse

    Kaugekraani jagamise seansi algatamine

    Seadme ekraani salvestamine, et varastada mandaate ja eemaldada rohkem pahavara

    Android 13 „piiratud seadetest” möödahiilimine

    Mandrake kasutab seansipõhist paketiinstallerit, et mööda minna Android 13 funktsioonist 'Restricted Settings', mis keelab külglaaditud rakendustel otse ebaturvalisi lubasid taotleda.

    Järeldus: pidevalt arenev oht

    Teadlased kirjeldavad Mandrake'i kui dünaamiliselt arenevat ohtu, mis täiustab pidevalt oma tehnikaid kaitsemehhanismidest mööda hiilimiseks ja avastamisest kõrvalehoidmiseks. See näitab ohus osalejate tohutuid oskusi ja rõhutab vajadust rakenduste rangema kontrolli järele enne nende avaldamist ametlikel rakenduste turgudel.

Trendikas

Enim vaadatud

Hüpikaknad „Kui olete 18-aastane, puudutage valikut...

Fake Warning Messages
29,265
Kui olete 18-aastane, puudutage luba, on hüpikaknad, mis kuvatakse Interneti sirvimise ajal kasutaja ekraanile. Need hüpikaknad võivad olla kasutajatele üsna murettekitavad, kuna nad kutsuvad neid üles klõpsama nuppu "Luba", et jätkata praeguse veebisaidi kasutamist. Need hüpikaknad on seotud selliste soovimatute programmidega nagu reklaamvara, mis võib kasutajatele olulisi probleeme tekitada....
Laadimine...