Mandrake
חוקרי Infosec חשפו מסע פרסום מתקדם המכוון למשתמשי אנדרואיד הנמצאים באוסטרליה עם כלי בשם Mandrake . כמובן, נוכלי הסייבר מאחורי כלי הפריצה של Mandrake עשויים לבחור לשנות את המיקוד שלהם ולמקד למשתמשים ממיקום אחר בקמפיינים עתידיים. התוכנה הזדונית של Mandrake הופיעה לראשונה בשנת 2016. מאז שאנליסטים של תוכנות זדוניות הבחינו באיום Mandrake, יוצריה מציגים עדכונים שוטפים. היוצרים של איום Mandrake הוסיפו תכונות חדשות, עשו אופטימיזציה ישנות, הסירו מודולים מיותרים, ובסך הכל שיפרו את כלי הפריצה כדי להבטיח שהוא יישאר חזק מאוד.
תוכן העניינים
Mandrake אוסף נתונים רגישים ממכשירים נגועים
ניתן להפיץ את התוכנה הזדונית של Mandrake לאלפי על אלפי משתמשים בקלות . עם זאת, המפעילים שלה לא נוקטים בגישת הספאם ההמוני. במקום זאת, נראה שהם בוחרים את המטרות שלהם בקפידה. יש רק כ-500 עותקים פעילים כרגע. ניתן לסווג את איום Mandrake כתוכנת ריגול, ונראה כי מחבריו פורסים אותו רק למטרות שנחקרו במשך זמן מה.
אם תוכנת הריגול Mandrake תפגע במכשיר האנדרואיד שלך, היא תוכל לבצע מגוון גדול של משימות. מכיוון שאיום Mandrake מופיע בתור תוכנת ריגול, המטרה שלו היא לאסוף מידע חשוב מהמארחים הממוקדים. סביר להניח שתוכנת הריגול של Mandrake מאפשרת למפעיליה לשים את ידם על המשתמשים:
<ul/ style=";text-align:right;direction:rtl">
- אישורי כניסה.
- רשימת אנשי קשר.
- תמונות וסרטונים המאוחסנים בגלריה שלהם.
- פרטי חשבון בנק.
- פרטי תשלום.
- שיחות אישיות
בהתחשב במגוון הרחב של מידע שתוכנת הריגול מנדרייק אוספת, סביר להניח שהמפעילים שלה עשויים להשתמש בה הן לפעולות סחיטה והן לקמפיינים של הונאה פיננסית.
מכיוון שלכל משתמש ממוקד נראה שהתוקפים פונים בצורה שונה, סביר להניח שהקורבנות נבחרים בקפידה רבה. סביר להניח שהקמפיין של מנדרייק מבוצע על ידי קבוצה מיומנת ומנוסה מאוד של פושעי סייבר שיודעים מה הם עושים בדיוק. ודא שמכשיר האנדרואיד שלך מוגן על ידי אפליקציית אנטי-וירוס מקורית ומכובדת.
תוכנה זדונית לנייד מתפתחת של Mandrake מכוונת למשתמשי אנדרואיד
איטרציה חדשה של תוכנת הריגול האנדרואיד המתוחכמת ביותר , Mandrake, התגלתה אורבת בתוך חמש יישומים בחנות Google Play. תוכנת ריגול זו הצליחה להישאר ללא זיהוי במשך שנתיים.
הסתננות חמקנית: האפליקציות והטווח שלהן
חמשת האפליקציות הנגועות הורדו יותר מ -32,000 פעמים לפני שהוסרו מחנות Google Play. רוב ההורדות הללו הגיעו ממדינות כולל קנדה, גרמניה, איטליה, מקסיקו, ספרד, פרו ובריטניה
טקטיקות התחמקות מתקדמות
הדוגמאות החדשות של מנדרייק כללו שכבות מתקדמות של טכניקות ערפול והתחמקות:
-
- העברת פונקציונליות זדונית לספריות מקוריות מעורפלות
- שימוש בהצמדת אישורים לתקשורת שליטה ובקרה מאובטחת (C2).
- ביצוע בדיקות רבות כדי לזהות אם התוכנה הזדונית פועלת במכשיר שורשי או בסביבה מדומה
טכניקות אנטי-אנליזה
הגרסאות המעודכנות של Mandrake השתמשו ב-OLLVM (בלבול LLVM) כדי להסתיר את הפונקציונליות העיקרית שלהם. בנוסף, הם שילבו טכניקות שונות של התחמקות מארגזי חול ואנטי ניתוח כדי למנוע זיהוי על ידי מנתחי תוכנות זדוניות.
היישומים הנגועים
חמשת היישומים שנמצאו מכילים תוכנת ריגול Mandrake הם:
AirFS (com.airft.ftrnsfr)
אמבר (com. shrp . sght )
Astro Explorer (com.astro.dscvr)
מטריצת המוח (com. brnmth . mtrx )
CryptoPulsing (com. cryptopulsing .browser)
תהליך זיהום רב שלבי
שלב ראשון: הטפטף
ההדבקה הראשונית מתחילה בטפטפת המשגרת מטעין. מטעין זה מפעיל את רכיב הליבה של התוכנה הזדונית לאחר הורדה ופענוח שלו משרת C2 .
שלב שני: איסוף מידע
מטען השלב השני אוסף מידע על המכשיר, כולל:
-
- מצב קישוריות
-
- אפליקציות מותקנות
-
- אחוזי סוללה
-
- כתובת IP חיצונית
-
- הגרסה הנוכחית של Google Play
בנוסף, הוא יכול למחוק את מודול הליבה ולבקש הרשאות לצייר שכבות-על ולרוץ ברקע.
שלב שלישי: גניבת אישורים ועוד
השלב השלישי תומך בפקודות נוספות, כגון:
טעינת כתובת URL ספציפית ב-WebView
התחלת הפעלה מרחוק של שיתוף מסך
הקלטת מסך המכשיר כדי לגנוב אישורים ולהפיל תוכנות זדוניות נוספות
עקיפת 'הגדרות מוגבלות' של אנדרואיד 13
Mandrake משתמש במתקין חבילות 'מבוסס הפעלה' כדי לעקוף את תכונת 'הגדרות מוגבלות' של אנדרואיד 13, האוסרת על יישומים עם טעינת צד לבקש ישירות הרשאות לא בטוחות.
מסקנה: איום הולך ומתפתח
חוקרים מתארים את מנדרייק כאיום המתפתח באופן דינמי, ומשכלל את הטכניקות שלו כדי לעקוף מנגנוני הגנה ולהתחמק מגילוי. זה מציג את הכישורים האדירים של שחקני האיום ומדגיש את הצורך בבקרות מחמירות יותר עבור יישומים לפני שהם מתפרסמים בשוקי האפליקציות הרשמיים.
