Multi-License Discount Quote
Database delle minacce Mobile Malware Mandrake

Mandrake

Entro GoldSparrow nel Mobile Malware, Spyware
Traduci in:
Italiano

I ricercatori di Infosec hanno scoperto una campagna di fascia alta rivolta agli utenti Android situati in Australia con uno strumento chiamato Mandrake . Naturalmente, i criminali informatici dietro lo strumento di hacking Mandrake potrebbero scegliere di cambiare la loro attenzione e prendere di mira gli utenti da una posizione diversa nelle campagne future. Il malware Mandrake è emerso per la prima volta nel 2016. Da quando gli analisti di malware hanno individuato la minaccia Mandrake, i suoi creatori hanno introdotto aggiornamenti regolari. I creatori della minaccia Mandrake hanno aggiunto nuove funzionalità, ottimizzato quelle vecchie, rimosso i moduli non necessari e, nel complesso , migliorato lo strumento di hacking per garantire che rimanga molto potente.

Mandrake raccoglie dati sensibili dai dispositivi infetti

Il malware Mandrake può essere distribuito facilmente a migliaia e migliaia di utenti . Tuttavia, i suoi operatori non adottano l’approccio dello spam di massa. Invece, sembrano scegliere attentamente i loro obiettivi. Attualmente sono attive solo circa 500 copie. La minaccia Mandrake può essere classificata come spyware e sembrerebbe che i suoi autori la stiano distribuendo solo su obiettivi che sono stati monitorati per un po'.

Se lo spyware Mandrake compromette il tuo dispositivo Android, sarà in grado di eseguire un'ampia varietà di attività. Poiché la minaccia Mandrake è classificata come spyware, il suo obiettivo è raccogliere informazioni importanti dagli host presi di mira. È probabile che lo spyware Mandrake permetta ai suoi operatori di mettere le mani sugli utenti:

  • Credenziali di accesso.

 

  • Elenco contatti.

 

  • Immagini e video archiviati nella loro galleria.

 

  • Informazioni sul conto bancario.

 

  • Dettagli di pagamento.

 

  • Conversazioni personali

Tenendo presente l'ampia gamma di informazioni raccolte dallo spyware Mandrake, è probabile che i suoi operatori lo utilizzino sia per operazioni di ricatto che per campagne di frode finanziaria.

Poiché ogni utente preso di mira viene approcciato in modo diverso dagli aggressori, è probabile che le vittime vengano selezionate con molta attenzione. È probabile che la campagna Mandrake sia portata avanti da un gruppo di criminali informatici altamente qualificati ed esperti che sanno esattamente cosa stanno facendo. Assicurati che il tuo dispositivo Android sia protetto da un'applicazione antivirus autentica e affidabile.

Il malware mobile Mandrake evoluto prende di mira gli utenti Android

Una nuova versione del sofisticato spyware per Android , Mandrake, è stata scoperta in agguato in cinque applicazioni sul Google Play Store. Questo spyware è riuscito a non essere rilevato per due anni.

Infiltrazione furtiva: le app e la loro portata

Le cinque applicazioni infette sono state scaricate più di 32.000 volte prima di essere rimosse dal Google Play Store. La maggior parte di questi download proveniva da paesi tra cui Canada, Germania, Italia, Messico, Spagna, Perù e Regno Unito

Tattiche di evasione avanzate

I nuovi campioni di Mandrake presentavano livelli avanzati di tecniche di offuscamento ed evasione:

 

    • Spostamento di funzionalità dannose in librerie native offuscate

 

  • Utilizzo del blocco dei certificati per comunicazioni sicure di comando e controllo (C2).
  • Esecuzione di numerosi test per rilevare se il malware era in esecuzione su un dispositivo rooted o in un ambiente emulato

 

Tecniche di anti-analisi

Le varianti aggiornate di Mandrake utilizzavano OLLVM (Obfuscation LLVM) per nascondere la loro funzionalità principale . Inoltre, hanno incorporato varie tecniche di evasione sandbox e anti-analisi per impedire il rilevamento da parte degli analisti di malware.

Le applicazioni infette

Le cinque applicazioni trovate contenenti spyware Mandrake sono:

AirFS (com.airft.ftrnsfr)

Ambra (com. shrp . sght )

Astro Explorer (com.astro.dscvr)

Brain Matrix (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

Processo di infezione a più stadi

Fase uno: il contagocce

L'infezione iniziale inizia con un contagocce che avvia un caricatore. Questo caricatore esegue il componente principale del malware dopo averlo scaricato e decrittografato da un server C2 .

Fase due: raccolta di informazioni

Il payload della seconda fase raccoglie informazioni sul dispositivo, tra cui:

 

    • Stato della connettività

 

    • Applicazioni installate

 

    • Percentuale della batteria

 

    • Indirizzo IP esterno

 

    • Versione attuale di Google Play

 

Inoltre, può cancellare il modulo principale e richiedere le autorizzazioni per disegnare sovrapposizioni ed eseguire in background.

Fase tre: furto di credenziali e altro ancora

La terza fase supporta comandi aggiuntivi, come:
Caricamento di un URL specifico in una WebView

Avvio di una sessione di condivisione dello schermo remota

Registrazione dello schermo del dispositivo per rubare credenziali e rilasciare altro malware

Bypassare le “Impostazioni limitate” di Android 13

Mandrake utilizza un programma di installazione del pacchetto "basato su sessione" per aggirare la funzione "Impostazioni limitate" di Android 13, che impedisce alle applicazioni trasferite lateralmente di richiedere direttamente autorizzazioni non sicure.

Conclusione: una minaccia in continua evoluzione

I ricercatori descrivono Mandrake come una minaccia in evoluzione dinamica, che perfeziona continuamente le sue tecniche per aggirare i meccanismi di difesa ed eludere il rilevamento. Ciò mette in mostra le formidabili capacità degli autori delle minacce ed evidenzia la necessità di controlli più severi per le applicazioni prima che vengano pubblicate sui mercati ufficiali delle app.

Tendenza

I più visti

Caricamento in corso...