Mandrake
Az Infosec kutatói egy csúcskategóriás kampányt fedeztek fel, amely az ausztráliai Android -felhasználókat célozza meg a Mandrake nevű eszközzel . Természetesen a Mandrake hackereszköz mögött álló internetes szélhámosok dönthetnek úgy, hogy megváltoztatják a fókuszt, és a jövőbeni kampányokban más helyről célozzák meg a felhasználókat. A Mandrake malware először 2016-ban jelent meg. Amióta a rosszindulatú programok elemzői észrevették a Mandrake fenyegetést, alkotói rendszeres frissítéseket vezetnek be . A Mandrake fenyegetés megalkotói új funkciókat adtak hozzá, optimalizálták a régieket, eltávolították a szükségtelen modulokat, és összességében továbbfejlesztették a hackereszközt, hogy biztosítsák, hogy az nagyon hatékony maradjon.
Tartalomjegyzék
A Mandrake érzékeny adatokat gyűjt a fertőzött eszközökről
A Mandrake malware könnyen terjeszthető több ezer felhasználóhoz . Üzemeltetői azonban nem a tömeges levélszemét megközelítést alkalmazzák . Ehelyett úgy tűnik, hogy gondosan választják ki célpontjaikat. Jelenleg csak körülbelül 500 aktív példány van. A Mandrake fenyegetés a kémprogramok közé sorolható , és úgy tűnik, hogy szerzői csak olyan célpontokra telepítik, amelyeket egy ideje figyeltek .
Ha a Mandrake spyware feltöri Android-eszközét, sokféle feladat elvégzésére lesz képes . Mivel a Mandrake fenyegetés spyware-ként szerepel , célja, hogy fontos információkat gyűjtsön a megcélzott gazdagépektől. Valószínű, hogy a Mandrake spyware lehetővé teszi üzemeltetői számára, hogy rávegyék a kezüket a felhasználókra:
- Bejelentkezési adatait.
- Névjegylista.
- A galériájukban tárolt képek és videók .
- Bankszámla adatok.
- Fizetési részletek.
- Személyes beszélgetések
Figyelembe véve a Mandrake spyware által gyűjtött információk széles körét, valószínű, hogy üzemeltetői zsarolási műveletekre és pénzügyi csalási kampányokra egyaránt felhasználhatják.
Mivel úgy tűnik, hogy minden megcélzott felhasználót másként közelítenek meg a támadók, valószínű, hogy az áldozatokat nagyon körültekintően választják ki. Valószínű, hogy a Mandrake kampányt egy magasan képzett és tapasztalt kiberbűnözők csoportja hajtja végre, akik pontosan tudják, mit csinálnak. Győződjön meg arról, hogy Android-eszközét egy eredeti, jó hírű víruskereső védi.
Az Evolved Mandrake Mobile Malware az Android felhasználókat célozza meg
A rendkívül kifinomult Android spyware új iterációját , a Mandrake-et fedezték fel a Google Play Áruház öt alkalmazásában. Ez a kémprogram két évig észrevétlen maradt .
Lopakodó beszivárgás: Az alkalmazások és elérhetőségük
Az öt fertőzött alkalmazást több mint 32 000 alkalommal töltötték le, mielőtt eltávolították őket a Google Play Áruházból. A letöltések többsége Kanadából, Németországból, Olaszországból, Mexikóból, Spanyolországból, Peruból és az Egyesült Királyságból származik.
Speciális kijátszási taktika
A Mandrake új mintái az elhomályosítási és kijátszási technikák fejlett rétegeit tartalmazták:
-
- Rosszindulatú funkciók áthelyezése elhomályosított natív könyvtárakba
- Tanúsítványrögzítés használata biztonságos parancs- és vezérlési (C2) kommunikációhoz
- Számos teszt elvégzése annak megállapítására, hogy a rosszindulatú program rootolt eszközön vagy emulált környezetben fut-e
Analízisellenes technikák
A Mandrake frissített változatai az OLLVM-et (Obfuscation LLVM) használták fő funkcióik elrejtésére . Ezenkívül különféle sandbox-elkerülési és anti-analízis technikákat alkalmaztak, hogy megakadályozzák a rosszindulatú programok elemzői általi észlelést.
A fertőzött alkalmazások
Az öt Mandrake kémprogramot tartalmazó alkalmazás a következő:
AirFS (com.airft.ftrnsfr)
Amber (com. shrp . sght )
Astro Explorer (com.astro.dscvr)
Brain Matrix (com. brnmth . mtrx )
CryptoPulsing (com. cryptopulsing .browser)
Többlépcsős fertőzési folyamat
Első szakasz: A csepegtető
A kezdeti fertőzés egy csepegtetővel kezdődik, amely elindít egy rakodót. Ez a betöltő végrehajtja a rosszindulatú program alapvető összetevőjét, miután letöltötte és visszafejtette egy C2 szerverről .
Második szakasz: Információgyűjtés
A második szakasz hasznos adata információkat gyűjt az eszközről, többek között:
-
- Kapcsolati állapot
-
- Telepített alkalmazások
-
- Akkumulátor százalékos
-
- Külső IP-cím
-
- A Google Play jelenlegi verziója
Ezenkívül törölheti az alapmodult, és engedélyeket kérhet átfedések rajzolásához és a háttérben való futtatásához.
Harmadik szakasz: bizonyítványlopás és egyebek
A harmadik szakasz további parancsokat támogat, például:
Adott URL betöltése egy WebView-ba
Távoli képernyőmegosztási munkamenet indítása
Az eszköz képernyőjének rögzítése hitelesítő adatok ellopásához és további rosszindulatú programok eldobásához
Az Android 13 „Korlátozott beállításainak” megkerülése
A Mandrake egy „munkamenet-alapú” csomagtelepítőt alkalmaz az Android 13 „Korlátozott beállítások” funkciójának megkerülésére, amely megtiltja, hogy az oldalról betöltött alkalmazások közvetlenül kérjenek nem biztonságos engedélyeket.
Következtetés: folyamatosan fejlődő fenyegetés
A kutatók a Mandrake-ot dinamikusan fejlődő fenyegetésként írják le, amely folyamatosan finomítja technikáit a védekező mechanizmusok megkerülésére és az észlelés elkerülésére. Ez bemutatja a fenyegetés szereplőinek félelmetes készségeit, és rávilágít az alkalmazások szigorúbb ellenőrzésének szükségességére, mielőtt azok megjelennének a hivatalos alkalmazáspiacokon.
