Mandrake

इन्फोसेक के शोधकर्ताओं ने मैनड्रेक नामक टूल के साथ ऑस्ट्रेलिया में स्थित एंड्रॉइड उपयोगकर्ताओं को लक्षित करने वाले एक उच्च-स्तरीय अभियान का खुलासा किया है। बेशक , मैनड्रेक हैकिंग टूल के पीछे के साइबर अपराधी भविष्य के अभियानों में अपना ध्यान बदलने और किसी अन्य स्थान से उपयोगकर्ताओं को लक्षित करने का विकल्प चुन सकते हैं । मैनड्रेक मैलवेयर पहली बार 2016 में सामने आया था। जब से मैलवेयर विश्लेषकों ने मैनड्रेक खतरे को देखा है, तब से इसके निर्माता नियमित अपडेट पेश कर रहे हैं । मैनड्रेक खतरे के निर्माताओं ने नई सुविधाएँ जोड़ी हैं, पुरानी सुविधाओं को अनुकूलित किया है, अनावश्यक मॉड्यूल हटाए हैं, और कुल मिलाकर हैकिंग टूल को बेहतर बनाया है ताकि यह सुनिश्चित हो सके कि यह बहुत शक्तिशाली बना रहे।

मैन्ड्रेक संक्रमित डिवाइसों से संवेदनशील डेटा एकत्र करता है

मैनड्रेक मैलवेयर को हज़ारों-हज़ारों उपयोगकर्ताओं को आसानी से वितरित किया जा सकता है । हालाँकि, इसके संचालक सामूहिक-स्पैम दृष्टिकोण नहीं अपना रहे हैं । इसके बजाय, वे अपने लक्ष्यों को सावधानी से चुनते हैं। वर्तमान में केवल 500 प्रतियाँ ही सक्रिय हैं। मैनड्रेक खतरे को स्पाइवेयर के रूप में वर्गीकृत किया जा सकता है, और ऐसा लगता है कि इसके लेखक इसे केवल उन लक्ष्यों पर तैनात कर रहे हैं जिनकी कुछ समय से निगरानी की जा रही है ।

यदि मैनड्रेक स्पाइवेयर आपके एंड्रॉइड डिवाइस से समझौता करता है, तो यह कई तरह के कार्य करने में सक्षम होगा। चूंकि मैनड्रेक खतरे को स्पाइवेयर के रूप में सूचीबद्ध किया गया है , इसलिए इसका लक्ष्य लक्षित होस्ट से महत्वपूर्ण जानकारी एकत्र करना है । यह संभावना है कि मैनड्रेक स्पाइवेयर अपने ऑपरेटरों को उपयोगकर्ताओं पर अपना हाथ रखने की अनुमति देता है:

• लॉग इन प्रमाण - पत्र।

• संपर्क सूची.

• उनकी गैलरी में संग्रहीत छवियाँ और वीडियो ।

• बैंक खाता संबंधी जानकारी।

• भुगतान विवरण।

• व्यक्तिगत बातचीत

मैन्ड्रेक स्पाइवेयर द्वारा एकत्रित की जाने वाली विस्तृत जानकारी को ध्यान में रखते हुए , यह संभावना है कि इसके संचालक इसका उपयोग ब्लैकमेलिंग कार्यों और वित्तीय धोखाधड़ी अभियानों दोनों के लिए कर रहे हों।

चूंकि हमलावरों द्वारा प्रत्येक लक्षित उपयोगकर्ता से अलग-अलग तरीके से संपर्क किया जाता है, इसलिए यह संभावना है कि पीड़ितों का चयन बहुत सावधानी से किया जाता है। यह संभावना है कि मैनड्रेक अभियान साइबर अपराधियों के एक उच्च-कुशल और बहुत अनुभवी समूह द्वारा चलाया जाता है, जो जानते हैं कि वे वास्तव में क्या कर रहे हैं। सुनिश्चित करें कि आपका Android डिवाइस एक वास्तविक, प्रतिष्ठित एंटी-वायरस एप्लिकेशन द्वारा सुरक्षित है।

विकसित मैन्ड्रेक मोबाइल मैलवेयर एंड्रॉयड उपयोगकर्ताओं को निशाना बनाता है

अत्यधिक परिष्कृत एंड्रॉयड स्पाइवेयर , मैनड्रेक का एक नया संस्करण, गूगल प्ले स्टोर पर पांच एप्लीकेशन में छिपा हुआ पाया गया है। यह स्पाइवेयर दो साल तक बिना पकड़े रहने में कामयाब रहा ।

गुप्त घुसपैठ: ऐप्स और उनकी पहुंच

गूगल प्ले स्टोर से हटाए जाने से पहले पांच संक्रमित एप्लीकेशन को 32,000 से ज़्यादा बार डाउनलोड किया गया था। इनमें से ज़्यादातर डाउनलोड कनाडा, जर्मनी, इटली, मैक्सिको, स्पेन, पेरू और यूके जैसे देशों से हुए थे।

उन्नत बचाव रणनीति

मैन्ड्रेक के नए नमूनों में अस्पष्टता और टालमटोल की उन्नत तकनीकें शामिल थीं:

• • दुर्भावनापूर्ण कार्यक्षमता को अस्पष्ट मूल लाइब्रेरी में ले जाना

• सुरक्षित कमांड-एंड-कंट्रोल (C2) संचार के लिए प्रमाणपत्र पिनिंग का उपयोग करना
• यह पता लगाने के लिए कई परीक्षण करना कि मैलवेयर रूट किए गए डिवाइस पर चल रहा था या किसी इम्यूलेटेड वातावरण में

एंटी-विश्लेषण तकनीक

मैनड्रेक के अपडेटेड वेरिएंट ने अपनी मुख्य कार्यक्षमता को छिपाने के लिए OLLVM (ऑबफस्केशन LLVM) का उपयोग किया। इसके अतिरिक्त, उन्होंने मैलवेयर विश्लेषकों द्वारा पता लगाने से रोकने के लिए विभिन्न सैंडबॉक्स इवेजन और एंटी-एनालिसिस तकनीकों को शामिल किया।

संक्रमित अनुप्रयोग

मैन्ड्रेक स्पाइवेयर युक्त पांच एप्लीकेशन निम्नलिखित हैं:

एयरएफएस (com.airft.ftrnsfr)

अंबर (com. shrp . sght )

एस्ट्रो एक्सप्लोरर (com.astro.dscvr)

ब्रेन मैट्रिक्स (com. brnmth . mtrx )

क्रिप्टोपल्सिंग (com. cryptopulsing .browser)

बहु-चरणीय संक्रमण प्रक्रिया

चरण एक: ड्रॉपर

प्रारंभिक संक्रमण एक ड्रॉपर से शुरू होता है जो एक लोडर लॉन्च करता है। यह लोडर मैलवेयर के मुख्य घटक को C2 सर्वर से डाउनलोड और डिक्रिप्ट करने के बाद निष्पादित करता है ।

चरण दो: सूचना एकत्र करना

दूसरे चरण का पेलोड डिवाइस के बारे में जानकारी एकत्रित करता है, जिसमें शामिल हैं:

• • कनेक्टिविटी स्थिति

• • स्थापित अनुप्रयोग

• • बैटरी का प्रतिशत

• • बाह्य आईपी पता

• • वर्तमान गूगल प्ले संस्करण

इसके अतिरिक्त, यह कोर मॉड्यूल को मिटा सकता है और ओवरले बनाने और पृष्ठभूमि में चलाने के लिए अनुमति का अनुरोध कर सकता है।

चरण तीन: क्रेडेंशियल चोरी और अधिक

तीसरा चरण अतिरिक्त आदेशों का समर्थन करता है, जैसे:
किसी WebView में विशिष्ट URL लोड करना

रिमोट स्क्रीन-शेयरिंग सत्र आरंभ करना

डिवाइस स्क्रीन को रिकॉर्ड करके क्रेडेंशियल्स चुराना और अधिक मैलवेयर डालना

एंड्रॉइड 13 की 'प्रतिबंधित सेटिंग्स' को बायपास करना

मैनड्रैक एंड्रॉइड 13 की 'प्रतिबंधित सेटिंग्स' सुविधा को बायपास करने के लिए एक 'सत्र-आधारित' पैकेज इंस्टॉलर को नियुक्त करता है, जो साइडलोड किए गए अनुप्रयोगों को असुरक्षित अनुमतियों का सीधे अनुरोध करने से रोकता है।

निष्कर्ष: एक निरंतर विकसित होने वाला खतरा

शोधकर्ताओं ने मैनड्रेक को एक गतिशील रूप से विकसित होने वाला खतरा बताया है, जो रक्षा तंत्र को बायपास करने और पता लगाने से बचने के लिए अपनी तकनीकों को लगातार परिष्कृत कर रहा है। यह खतरे के अभिनेताओं के दुर्जेय कौशल को दर्शाता है और आधिकारिक ऐप मार्केटप्लेस पर प्रकाशित होने से पहले अनुप्रयोगों के लिए सख्त नियंत्रण की आवश्यकता को उजागर करता है।