Mandrake
Infosecin tutkijat ovat paljastaneet huippuluokan kampanjan, joka on kohdistettu Australiassa oleville Android-käyttäjille Mandrake- nimisellä työkalulla . Tietenkin Mandrake-hakkerointityökalun takana olevat kyberrikolliset voivat halutessaan muuttaa painopistettään ja kohdistaa käyttäjiä eri paikoista tulevissa kampanjoissa. Mandrake-haittaohjelma ilmestyi ensimmäisen kerran vuonna 2016. Siitä lähtien, kun haittaohjelmaanalyytikot havaitsivat Mandrake-uhan, sen tekijät ovat ottaneet käyttöön säännöllisiä päivityksiä. Mandrake-uhan luojat ovat lisänneet uusia ominaisuuksia, optimoineet vanhoja, poistaneet tarpeettomia moduuleja ja yleisesti parantaneet hakkerointityökalua varmistaakseen, että se pysyy erittäin tehokkaana.
Sisällysluettelo
Mandrake kerää arkaluonteisia tietoja tartunnan saaneilta laitteilta
Mandrake-haittaohjelma voidaan jakaa helposti tuhansille ja tuhansille käyttäjille . Sen operaattorit eivät kuitenkaan käytä massaroskapostilähestymistapaa. Sen sijaan he näyttävät valitsevan kohteensa huolellisesti. Tällä hetkellä käytössä on vain noin 500 kopiota. Mandrake-uhka voidaan luokitella vakoiluohjelmiksi, ja näyttää siltä, että sen tekijät käyttävät sitä vain kohteisiin, joita on seurattu jonkin aikaa.
Jos Mandrake-spyware vaarantaa Android-laitteesi, se pystyy suorittamaan monia erilaisia tehtäviä. Koska Mandrake-uhka on listattu vakoiluohjelmiksi, sen tavoitteena on kerätä tärkeitä tietoja kohteena olevilta isänniltä. On todennäköistä, että Mandrake-vakoiluohjelma antaa operaattoreilleen mahdollisuuden saada käyttäjät käsiinsä:
Ottaen huomioon Mandrake-spywaren keräämän laajan tiedon määrän, on todennäköistä, että sen operaattorit saattavat käyttää sitä sekä kiristystoimiin että taloudellisiin petoskampanjoihin.
Koska hyökkääjät näyttävät lähestyvän jokaista kohdetta käyttäjää eri tavalla, on todennäköistä, että uhrit valitaan erittäin huolellisesti. On todennäköistä, että Mandrake-kampanjan toteuttaa erittäin ammattitaitoinen ja kokenut joukko kyberrikollisia, jotka tietävät tarkalleen mitä tekevät. Varmista, että Android-laitteesi on suojattu aidolla, hyvämaineisella virustorjuntasovelluksella.
Kehittynyt Mandrake Mobile -haittaohjelma on suunnattu Android-käyttäjille
Uusi iteraatio erittäin kehittyneestä Android-spywaresta , Mandrakesta, on löydetty viidestä Google Play -kaupan sovelluksesta. Tämä vakoiluohjelma onnistui pysymään havaitsematta kaksi vuotta.
Hiljainen tunkeutuminen: sovellukset ja niiden kattavuus
Viisi tartunnan saanutta sovellusta ladattiin yli 32 000 kertaa ennen kuin ne poistettiin Google Play Kaupasta. Suurin osa näistä latauksista on peräisin maista, kuten Kanadasta, Saksasta, Italiasta, Meksikosta, Espanjasta, Perusta ja Isosta-Britanniasta.
Kehittynyt väistötaktiikka
Mandraken uudet näytteet sisälsivät edistyneitä hämärä- ja väistötekniikoita:
- Haitallisten toimintojen siirtäminen hämärtyneisiin alkuperäiskirjastoihin
- Varmenteen kiinnityksen käyttäminen suojattuun komento- ja ohjausviestintään (C2).
Analyysin vastaiset tekniikat
Mandraken päivitetyt versiot käyttivät OLLVM:ää (Obfuscation LLVM) salatakseen päätoiminnallisuutensa . Lisäksi ne sisälsivät erilaisia hiekkalaatikon kierto- ja anti-analyysitekniikoita estääkseen haittaohjelmien analyytikot havaitsemasta niitä.
Tartunnan saaneet sovellukset
Viisi Mandrake-vakoiluohjelmia sisältävää sovellusta ovat:
AirFS (com.airft.ftrnsfr)
Amber (com. shrp . sght )
Astro Explorer (com.astro.dscvr)
Brain Matrix (com. brnmth . mtrx )
CryptoPulsing (com. cryptopulsing .browser)
Monivaiheinen infektioprosessi
Vaihe yksi: Pisara
Alkutartunta alkaa tiputtimella, joka käynnistää kuormaimen. Tämä latausohjelma suorittaa haittaohjelman ydinkomponentin sen jälkeen, kun se on ladattu ja purettu C2-palvelimelta .
Toinen vaihe: Tiedonkeruu
Toisen vaiheen hyötykuorma kerää tietoja laitteesta, mukaan lukien:
- Yhteyden tila
- Asennetut sovellukset
- Akkuprosentti
- Ulkoinen IP-osoite
- Nykyinen Google Play -versio
Lisäksi se voi pyyhkiä ydinmoduulin ja pyytää oikeuksia piirtää peittokuvia ja toimia taustalla.
Kolmas vaihe: Tunnistustietojen varkaus ja paljon muuta
Kolmas vaihe tukee lisäkomentoja, kuten:
Tietyn URL-osoitteen lataaminen WebView-näkymään
Aloitetaan näytön jakamisen etäistunto
Laitteen näytön tallentaminen valtuustietojen varastamiseksi ja muiden haittaohjelmien pudottamiseksi
Ohita Android 13:n “rajoitetut asetukset”
Mandrake käyttää "istuntopohjaista" paketin asennusohjelmaa ohittaakseen Android 13:n "Restricted Settings" -ominaisuuden, joka estää sivulta ladattuja sovelluksia pyytämästä suoraan vaarallisia käyttöoikeuksia.
Johtopäätös: jatkuvasti kehittyvä uhka
Tutkijat kuvaavat Mandrakea dynaamisesti kehittyvänä uhkana, joka kehittää jatkuvasti tekniikoitaan ohittaakseen puolustusmekanismit ja välttääkseen havaitsemisen. Tämä esittelee uhkatoimijoiden valtavat taidot ja korostaa tarvetta tiukentaa sovellusten valvontaa ennen kuin ne julkaistaan virallisilla sovellusmarkkinoilla.
