Mandrake

محققان Infosec یک کمپین پیشرفته را کشف کرده اند که کاربران اندرویدی مستقر در استرالیا را با ابزاری به نام Mandrake هدف قرار می دهد . البته، کلاهبرداران سایبری پشت ابزار هک Mandrake ممکن است تصمیم بگیرند تمرکز خود را تغییر دهند و در کمپین‌های آینده کاربران را از مکان دیگری هدف قرار دهند. بدافزار Mandrake برای اولین بار در سال 2016 ظاهر شد. از زمانی که تحلیلگران بدافزار تهدید Mandrake را مشاهده کردند، سازندگان آن به‌روزرسانی‌های منظم را معرفی می‌کنند . سازندگان تهدید Mandrake ویژگی‌های جدیدی را اضافه کرده‌اند، موارد قدیمی را بهینه‌سازی کرده، ماژول‌های غیرضروری را حذف کرده‌اند و به طور کلی ابزار هک را بهبود بخشیده‌اند تا مطمئن شوند که بسیار قوی باقی می‌ماند.

Mandrake داده های حساس را از دستگاه های آلوده جمع آوری می کند

بدافزار Mandrake می تواند به راحتی بین هزاران هزار کاربر توزیع شود . با این حال، اپراتورهای آن از رویکرد انبوه هرزنامه استفاده نمی کنند . در عوض، به نظر می رسد که آنها اهداف خود را با دقت انتخاب می کنند. در حال حاضر تنها حدود 500 نسخه فعال وجود دارد. تهدید Mandrake را می توان به عنوان نرم افزارهای جاسوسی طبقه بندی کرد ، و به نظر می رسد که نویسندگان آن فقط آن را برای اهدافی که برای مدتی تحت نظارت بوده اند، مستقر می کنند.

اگر نرم افزار جاسوسی Mandrake دستگاه اندرویدی شما را در معرض خطر قرار دهد، می تواند وظایف مختلفی را انجام دهد. از آنجایی که تهدید Mandrake به عنوان نرم افزارهای جاسوسی درج شده است ، هدف آن جمع آوری اطلاعات مهم از میزبان های هدف است. به احتمال زیاد نرم افزار جاسوسی Mandrake به اپراتورهای خود اجازه می دهد تا کاربران را در دست بگیرند:
<ul/ style=";text-align:right;direction:rtl">

• اعتبار ورود.

• لیست مخاطبین

• تصاویر و ویدیوهای ذخیره شده در گالری آنها.

• اطلاعات حساب بانکی

• جزئیات پرداخت.

• گفتگوهای شخصی

با در نظر گرفتن طیف گسترده ای از اطلاعاتی که جاسوس افزار Mandrake جمع آوری می کند، این احتمال وجود دارد که اپراتورهای آن هم برای عملیات باج خواهی و هم برای کمپین های کلاهبرداری مالی از آن استفاده کنند.

از آنجایی که به نظر می رسد مهاجمان با هر کاربر هدف متفاوتی برخورد می کنند، این احتمال وجود دارد که قربانیان با دقت زیادی انتخاب شوند. این احتمال وجود دارد که کمپین Mandrake توسط یک گروه بسیار ماهر و بسیار با تجربه از مجرمان سایبری انجام شود که می دانند دقیقاً چه کاری انجام می دهند. مطمئن شوید که دستگاه اندرویدی شما توسط یک برنامه آنتی ویروس معتبر و معتبر محافظت می شود.

بدافزار موبایل Mandrake تکامل یافته کاربران اندروید را هدف قرار می دهد

نسخه جدیدی از نرم افزار جاسوسی بسیار پیچیده اندروید ، Mandrake، در پنج برنامه در فروشگاه Google Play کشف شده است. این جاسوس افزار توانست به مدت دو سال ناشناخته بماند .

نفوذ پنهان: برنامه ها و دسترسی آنها

این پنج برنامه آلوده بیش از 32000 بار قبل از حذف از فروشگاه Google Play دانلود شدند. اکثر این دانلودها از کشورهایی از جمله کانادا، آلمان، ایتالیا، مکزیک، اسپانیا، پرو و بریتانیا انجام شده است.

تاکتیک های فرار پیشرفته

نمونه‌های جدید Mandrake لایه‌های پیشرفته‌ای از تکنیک‌های مبهم‌سازی و فرار را نشان می‌دهند:

• • انتقال عملکرد مخرب به کتابخانه های بومی مبهم

• استفاده از پین کردن گواهی برای ارتباطات ایمن فرمان و کنترل (C2).
• انجام آزمایش‌های متعدد برای تشخیص اینکه آیا بدافزار بر روی یک دستگاه روت شده یا در یک محیط شبیه‌سازی شده در حال اجرا است

تکنیک های ضد تجزیه و تحلیل

انواع به روز شده Mandrake از OLLVM (Obfuscation LLVM) برای پنهان کردن عملکرد اصلی خود استفاده کردند. علاوه بر این، آنها روش‌های مختلفی را برای فرار از سندباکس و تکنیک‌های ضد تجزیه و تحلیل برای جلوگیری از شناسایی توسط تحلیلگران بدافزار ترکیب کردند.

برنامه های کاربردی آلوده

پنج برنامه ای که حاوی نرم افزار جاسوسی Mandrake هستند عبارتند از:

AirFS (com.airft.ftrnsfr)

کهربا (com. shrp . sght )

Astro Explorer (com.astro.dscvr)

ماتریس مغز (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

فرآیند عفونت چند مرحله ای

مرحله اول: قطره چکان

عفونت اولیه با قطره چکانی شروع می شود که لودر را راه اندازی می کند. این لودر جزء اصلی بدافزار را پس از دانلود و رمزگشایی از سرور C2 اجرا می کند .

مرحله دوم: جمع آوری اطلاعات

محموله مرحله دوم اطلاعات مربوط به دستگاه را جمع آوری می کند، از جمله:

• • وضعیت اتصال

• • برنامه های نصب شده

• • درصد باتری

• • آدرس IP خارجی

• • نسخه فعلی Google Play

علاوه بر این، می‌تواند ماژول اصلی را پاک کند و برای ترسیم همپوشانی‌ها و اجرا در پس‌زمینه مجوز درخواست کند.

مرحله سوم: سرقت اعتبار و موارد دیگر

مرحله سوم از دستورات اضافی پشتیبانی می کند، مانند:
بارگیری یک URL خاص در WebView

شروع یک جلسه اشتراک‌گذاری صفحه از راه دور

ضبط صفحه نمایش دستگاه برای سرقت اطلاعات کاربری و انتشار بدافزار بیشتر

دور زدن «تنظیمات محدود» اندروید 13

Mandrake از یک نصب کننده بسته «مبتنی بر جلسه» استفاده می کند تا ویژگی «تنظیمات محدود» اندروید 13 را دور بزند، که برنامه های جانبی را از درخواست مستقیم مجوزهای ناامن منع می کند.

نتیجه گیری: یک تهدید همیشه در حال تکامل

محققان Mandrake را به عنوان یک تهدید پویا در حال تکامل توصیف می کنند که به طور مداوم تکنیک های خود را برای دور زدن مکانیسم های دفاعی و فرار از تشخیص اصلاح می کند. این نشان دهنده مهارت های فوق العاده بازیگران تهدید است و ضرورت کنترل های سخت گیرانه تر برای برنامه ها را قبل از انتشار در بازارهای رسمی برنامه ها برجسته می کند.