Multi-License Discount Quote
Baza prijetnji Mobile Malware Mandrake

Mandrake

Do GoldSparrow. Mobile Malware, Spyware. godine
Prevedi na:
Hrvatski

Istraživači tvrtke Infosec otkrili su vrhunsku kampanju koja cilja korisnike Androida koji se nalaze u Australiji s alatom pod nazivom Mandrake . Naravno, cyber prevaranti koji stoje iza alata za hakiranje Mandrake mogli bi promijeniti svoj fokus i ciljati korisnike s druge lokacije u budućim kampanjama. Zlonamjerni softver Mandrake prvi put se pojavio 2016. Otkako su analitičari zlonamjernog softvera uočili prijetnju Mandrake, njegovi kreatori uvode redovita ažuriranja. Tvorci prijetnje Mandrake dodali su nove značajke, optimizirali stare, uklonili nepotrebne module i općenito poboljšali alat za hakiranje kako bi osigurali da ostaje vrlo moćan.

Mandrake prikuplja osjetljive podatke sa zaraženih uređaja

Zlonamjerni softver Mandrake može se lako distribuirati tisućama i tisućama korisnika . Međutim, njegovi operateri ne koriste pristup masovne neželjene pošte. Umjesto toga, čini se da pažljivo biraju svoje mete. Trenutno je aktivno samo oko 500 primjeraka. Prijetnja Mandrake može se klasificirati kao špijunski softver, a čini se da je njeni autori postavljaju samo na mete koje su neko vrijeme nadzirane .

Ako Mandrake špijunski softver ugrozi vaš Android uređaj, on će moći obavljati veliki izbor zadataka. Budući da je prijetnja Mandrake navedena kao špijunski softver, cilj joj je prikupiti važne informacije od ciljanih računala. Vrlo je vjerojatno da Mandrake špijunski softver omogućuje svojim operaterima da se dočepaju korisnika:

  • vjerodajnice za prijavu.

 

  • Popis kontakata.

 

  • Slike i videozapisi pohranjeni u njihovoj galeriji.

 

  • Podaci o bankovnom računu.

 

  • Pojedinosti o plaćanju.

 

  • Osobni razgovori

Imajući u vidu široku lepezu informacija koje Mandrake špijunski softver prikuplja, vjerojatno ga njegovi operateri koriste i za operacije ucjenjivanja i za kampanje financijskih prijevara.

Budući da se čini da svakom ciljanom korisniku napadači pristupaju drugačije, vjerojatno su žrtve odabrane vrlo pažljivo. Vjerojatno je da Mandrake kampanju provodi visokostručna i vrlo iskusna skupina kibernetičkih kriminalaca koji znaju što točno rade. Provjerite je li vaš Android uređaj zaštićen originalnom, renomiranom antivirusnom aplikacijom.

Razvijeni mobilni zlonamjerni softver Mandrake cilja na korisnike Androida

Nova iteracija vrlo sofisticiranog Android špijunskog softvera , Mandrake, otkrivena je kako vreba unutar pet aplikacija na Google Play Storeu. Ovaj špijunski softver uspio je ostati neotkriven dvije godine.

Prikrivena infiltracija: aplikacije i njihov doseg

Pet zaraženih aplikacija preuzeto je više od 32.000 puta prije nego što su uklonjene iz trgovine Google Play. Većina tih preuzimanja potječe iz zemalja uključujući Kanadu, Njemačku, Italiju, Meksiko, Španjolsku, Peru i UK

Napredne taktike izbjegavanja

Novi uzorci Mandrakea sadržavali su napredne slojeve maskiranja i tehnika izbjegavanja:

 

    • Premještanje zlonamjerne funkcionalnosti u maskirane izvorne biblioteke

 

  • Korištenje pribadanja certifikata za sigurnu komunikaciju upravljanja i upravljanja (C2).
  • Izvođenje brojnih testova kako bi se otkrilo radi li zlonamjerni softver na rootanom uređaju ili u emuliranom okruženju

 

Tehnike anti-analize

Ažurirane varijante Mandrakea koristile su OLLVM (Obfuscation LLVM) kako bi prikrile svoju glavnu funkcionalnost. Osim toga, uključili su različite tehnike izbjegavanja sandboxa i anti-analize kako bi spriječili otkrivanje od strane analitičara zlonamjernog softvera.

Zaražene aplikacije

Pet aplikacija za koje je utvrđeno da sadrže špijunski softver Mandrake su:

AirFS (com.airft.ftrnsfr)

Jantar (com. shrp . sght )

Astro Explorer (com.astro.dscvr)

Brain Matrix (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

Višefazni proces infekcije

Prva faza: Kapaljka

Početna infekcija počinje dropperom koji pokreće loader. Ovaj učitavač izvršava temeljnu komponentu zlonamjernog softvera nakon preuzimanja i dekriptiranja s C2 poslužitelja .

Druga faza: prikupljanje informacija

Korisni teret druge faze prikuplja informacije o uređaju, uključujući:

 

    • Status povezivanja

 

    • Instalirane aplikacije

 

    • Postotak baterije

 

    • Vanjska IP adresa

 

    • Trenutna verzija Google Playa

 

Osim toga, može obrisati temeljni modul i zatražiti dopuštenja za crtanje slojeva i rad u pozadini.

Treća faza: krađa vjerodajnica i više

Treća faza podržava dodatne naredbe, kao što su:
Učitavanje određenog URL-a u WebView

Pokretanje sesije udaljenog dijeljenja zaslona

Snimanje zaslona uređaja radi krađe vjerodajnica i ispuštanja više zlonamjernog softvera

Zaobilaženje 'Ograničenih postavki' Androida 13

Mandrake koristi program za instaliranje paketa 'temeljen na sesiji' kako bi zaobišao značajku 'Ograničene postavke' Androida 13, koja zabranjuje bočno učitanim aplikacijama da izravno traže nesigurna dopuštenja.

Zaključak: Prijetnja koja se stalno razvija

Istraživači opisuju Mandrake kao prijetnju koja se dinamički razvija, neprestano usavršavajući svoje tehnike za zaobilaženje obrambenih mehanizama i izbjegavanje otkrivanja. Ovo pokazuje nevjerojatne vještine aktera prijetnji i naglašava potrebu za strožom kontrolom aplikacija prije nego što se objave na službenim tržištima aplikacija.

U trendu

Nagledanije

Skočni prozori 'Ako imate 18 godina dodirnite Dopusti'

Fake Warning Messages
29,265
Skočni prozori 'If You are 18 Tap Allow' vrsta su skočnih oglasa koji se pojavljuju na zaslonu korisnika dok pregledava internet. Ovi skočni prozori mogu biti prilično alarmantni za korisnike jer ih potiču da kliknu na gumb "dopusti" kako bi nastavili koristiti web stranicu na kojoj se trenutno nalaze. Ovi skočni prozori povezani su s takvim neželjenim programima kao što je adware koji...
Učitavam...