Mandrake

អ្នកស្រាវជ្រាវ Infosec បានរកឃើញយុទ្ធនាការកម្រិតខ្ពស់ដែលផ្តោតលើអ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Android ដែលមានទីតាំងនៅ ប្រទេសអូស្ត្រាលី ជាមួយនឹង ឧបករណ៍ មួយ ដែលមានឈ្មោះថា Mandrake ។ ជាការពិតណាស់ អ្នកបោកប្រាស់តាមអ៊ីនធឺណិតនៅពីក្រោយឧបករណ៍លួចចូល Mandrake អាច ជ្រើសរើស ផ្លាស់ប្តូរការផ្តោតអារម្មណ៍របស់ពួកគេ និងកំណត់គោលដៅអ្នកប្រើប្រាស់ពីទីតាំងផ្សេងគ្នានៅក្នុងយុទ្ធនាការនាពេលអនាគត។ មេរោគ Mandrake បានលេចឡើងជាលើកដំបូងក្នុងឆ្នាំ 2016 ។ ចាប់តាំងពី អ្នកវិភាគមេរោគបានប្រទះឃើញការគំរាមកំហែង Mandrake អ្នកបង្កើតរបស់វាបាននិង កំពុងណែនាំ ការអាប់ដេតជាប្រចាំ។ អ្នកបង្កើតការគំរាមកំហែង Mandrake បានបន្ថែមមុខងារថ្មី ធ្វើឱ្យមុខងារចាស់ប្រសើរឡើង ដកចេញនូវម៉ូឌុលដែលមិនចាំបាច់ ហើយ ជាទូទៅ បានកែលម្អឧបករណ៍លួចស្តាប់ ដើម្បីធានាថាវានៅតែមានថាមពលខ្លាំង។

Mandrake ប្រមូលទិន្នន័យរសើបពីឧបករណ៍ដែលឆ្លងមេរោគ

មេរោគ Mandrake អាចត្រូវបានចែកចាយទៅកាន់អ្នកប្រើប្រាស់រាប់ពាន់នាក់ យ៉ាងងាយស្រួល ។ ទោះជាយ៉ាងណាក៏ដោយ ប្រតិបត្តិកររបស់ខ្លួន មិនទទួលយក វិធីសាស្រ្តសារឥតបានការដ៏ធំនោះទេ។ ផ្ទុយទៅវិញ ពួកគេហាក់ដូចជាជ្រើសរើសគោលដៅរបស់ពួកគេយ៉ាងប្រុងប្រយ័ត្ន។ បច្ចុប្បន្ននេះមានច្បាប់ចម្លងចំនួន 500 ប៉ុណ្ណោះ។ ការគំរាមកំហែង Mandrake អាច ត្រូវបានចាត់ថ្នាក់ ថាជា spyware ហើយ វានឹងហាក់បីដូចជា អ្នកនិពន្ធរបស់វា គ្រាន់តែដាក់ពង្រាយវាទៅកាន់គោលដៅដែលត្រូវ បានត្រួតពិនិត្យ មួយរយៈប៉ុណ្ណោះ។

ប្រសិនបើ Spyware Mandrake សម្របសម្រួលឧបករណ៍ Android របស់អ្នក វា នឹងអាច បំពេញកិច្ចការជាច្រើនប្រភេទ។ ចាប់តាំងពីការគំរាមកំហែង Mandrake ត្រូវបានរាយបញ្ជី ជា spyware គោលដៅរបស់វាគឺដើម្បីប្រមូល ព័ត៌មាន សំខាន់ៗ ពីម៉ាស៊ីនគោលដៅ។ វាទំនងជាថា Mandrake spyware អនុញ្ញាតឱ្យ ប្រតិបត្តិកររបស់ខ្លួនទទួលបានដៃរបស់ពួកគេនៅលើអ្នកប្រើប្រាស់:

• លិខិតបញ្ជាក់ការចូល។
• បញ្ជីទំនាក់ទំនង។
• រូបភាព និងវីដេអូ ដែលរក្សាទុក ក្នុងវិចិត្រសាលរបស់ពួកគេ។
• ព័ត៌មានគណនីធនាគារ។
• ព័ត៌មានលម្អិតអំពីការទូទាត់។
• ការសន្ទនាផ្ទាល់ខ្លួន

ដោយគិតពី អារេដ៏ធំទូលាយនៃព័ត៌មានដែល Mandrake spyware ប្រមូលបាន វាទំនងជាថា ប្រតិបត្តិកររបស់ខ្លួនអាចនឹងប្រើប្រាស់វាសម្រាប់ទាំងប្រតិបត្តិការ blackmailing និងយុទ្ធនាការក្លែងបន្លំហិរញ្ញវត្ថុ។

ដោយសារ អ្នកប្រើប្រាស់គោលដៅនីមួយៗ ហាក់ដូចជាត្រូវបានចូលទៅជិតដោយអ្នកវាយប្រហារខុសៗគ្នា វាទំនងជាថា ជនរងគ្រោះត្រូវបានជ្រើសរើសយ៉ាងយកចិត្តទុកដាក់បំផុត។ វាទំនងជាថា យុទ្ធនាការ Mandrake ត្រូវបានអនុវត្តដោយ ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ដែលមានជំនាញ និងបទពិសោធន៍ខ្ពស់ ដែលដឹងពីអ្វីដែលពួកគេកំពុងធ្វើយ៉ាងពិតប្រាកដ។ ត្រូវប្រាកដថា ឧបករណ៍ Android របស់អ្នកត្រូវបានការពារដោយកម្មវិធីប្រឆាំងមេរោគពិតប្រាកដ និងល្បីឈ្មោះ។

Evolved Mandrake Mobile Malware កំណត់គោលដៅអ្នកប្រើប្រាស់ Android

ការធ្វើឡើងវិញថ្មីនៃ spyware ប្រព័ន្ធប្រតិបត្តិការ Android ដ៏ទំនើប Mandrake ត្រូវបានរកឃើញនៅក្នុងកម្មវិធីចំនួនប្រាំនៅលើ Google Play Store ។ Spyware នេះ ​អាច​នៅ​តែ ​មិន​អាច​រក​ឃើញ​បាន​រយៈ​ពេល​ពីរ​ឆ្នាំ។

ការជ្រៀតចូលដោយសម្ងាត់៖ កម្មវិធី និងលទ្ធភាពរបស់ពួកគេ។

កម្មវិធីឆ្លងមេរោគទាំង 5 ត្រូវបានទាញយក ច្រើនជាង 32,000 ដង មុនពេលត្រូវបានដកចេញពី Google Play Store ។ ភាគច្រើន នៃការទាញយកទាំងនេះមានប្រភពមកពីប្រទេសនានារួមមាន កាណាដា អាល្លឺម៉ង់ អ៊ីតាលី ម៉ិកស៊ិក អេស្ប៉ាញ ប៉េរូ និងចក្រភពអង់គ្លេស

យុទ្ធសាស្ត្រគេចវេសកម្រិតខ្ពស់

គំរូថ្មីនៃ Mandrake បានបង្ហាញនូវស្រទាប់កម្រិតខ្ពស់នៃបច្ចេកទេសលាក់បាំង និងគេចវេះ៖

• ផ្លាស់ទីមុខងារព្យាបាទទៅបណ្ណាល័យដើមដែលច្រឡំ
• ការប្រើប្រាស់ការខ្ទាស់វិញ្ញាបនបត្រសម្រាប់ការទំនាក់ទំនងបញ្ជា និងត្រួតពិនិត្យសុវត្ថិភាព (C2)
• អនុវត្តការធ្វើតេស្តជាច្រើន ដើម្បីរកមើលថាតើមេរោគកំពុងដំណើរការនៅលើឧបករណ៍ឬសឬស ឬនៅក្នុងបរិស្ថានដែលត្រាប់តាម

បច្ចេកទេសប្រឆាំងការវិភាគ

កំណែអាប់ដេតរបស់ Mandrake បានប្រើប្រាស់ OLLVM (Obfuscation LLVM) ដើម្បីលាក់ មុខងារ ចម្បង របស់ពួកគេ។ លើសពីនេះ ពួកគេបានបញ្ចូលការគេចចេញពីប្រអប់ខ្សាច់ និងបច្ចេកទេសប្រឆាំងការវិភាគផ្សេងៗ ដើម្បីការពារការរកឃើញដោយអ្នកវិភាគមេរោគ។

កម្មវិធីឆ្លងមេរោគ

កម្មវិធីទាំងប្រាំដែលបានរកឃើញថាមាន Spyware Mandrake គឺ៖

AirFS (com.airft.ftrnsfr)

Amber (com. shrp . sght )

Astro Explorer (com.astro.dscvr)

ម៉ាទ្រីសខួរក្បាល (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing.browser )

ដំណើរការឆ្លងពហុដំណាក់កាល

ដំណាក់កាលទី 1: Dropper

ការឆ្លងដំបូងចាប់ផ្តើមដោយដំណក់ទឹកដែលបើកឧបករណ៍ផ្ទុក។ កម្មវិធី​ផ្ទុក​ទិន្នន័យ ​នេះ ​ប្រតិបត្តិ​ផ្នែក​ស្នូល ​នៃ​មេរោគ​បន្ទាប់​ពី​ការ​ទាញ​យក និង​ឌិគ្រីប​វា​ពី​ម៉ាស៊ីន​បម្រើ C2 ។

ដំណាក់កាលទីពីរ៖ ការប្រមូលព័ត៌មាន

បន្ទុកដំណាក់កាលទីពីរប្រមូលព័ត៌មានអំពីឧបករណ៍ រួមទាំង៖

• ស្ថានភាពការតភ្ជាប់
• កម្មវិធីដែលបានដំឡើង
• ភាគរយថ្ម
• អាសយដ្ឋាន IP ខាងក្រៅ
• កំណែ Google Play បច្ចុប្បន្ន

លើសពីនេះ វាអាចលុបម៉ូឌុលស្នូល និងស្នើសុំការអនុញ្ញាតដើម្បីគូរជាន់លើ និងដំណើរការក្នុងផ្ទៃខាងក្រោយ។

ដំណាក់កាលទីបី៖ ការលួចអត្តសញ្ញាណ និងច្រើនទៀត

ដំណាក់កាលទីបីគាំទ្រពាក្យបញ្ជាបន្ថែមដូចជា៖
កំពុងផ្ទុក URL ជាក់លាក់មួយនៅក្នុង WebView

ចាប់ផ្តើមសម័យចែករំលែកអេក្រង់ពីចម្ងាយ

ការថតអេក្រង់ឧបករណ៍ដើម្បីលួចព័ត៌មានសម្ងាត់ និងទម្លាក់មេរោគបន្ថែមទៀត

រំលង 'ការកំណត់កម្រិត' របស់ Android 13

Mandrake ប្រើប្រាស់កម្មវិធីដំឡើងកញ្ចប់ 'ផ្អែកលើសម័យ' ដើម្បីរំលងមុខងារ 'Restricted Settings' របស់ Android 13 ដែលហាមឃាត់ កម្មវិធី sideloaded ពីការស្នើសុំការអនុញ្ញាតដែលមិនមានសុវត្ថិភាពដោយផ្ទាល់។

សេចក្តីសន្និដ្ឋាន៖ ការគំរាមកំហែងដែលមិនធ្លាប់មាន

អ្នកស្រាវជ្រាវពណ៌នា Mandrake ថាជាការគម្រាមកំហែងដែលវិវឌ្ឍយ៉ាងស្វាហាប់ ដោយបន្តកែលម្អបច្ចេកទេសរបស់ខ្លួន ដើម្បីជៀសផុតពីយន្តការការពារ និងគេចពីការរកឃើញ។ នេះ បង្ហាញពីជំនាញដ៏មហិមារបស់តួអង្គគំរាមកំហែង និងបង្ហាញពីភាពចាំបាច់សម្រាប់ការគ្រប់គ្រងដ៏តឹងរ៉ឹងសម្រាប់កម្មវិធី មុនពេលពួកគេ ត្រូវបានបោះពុម្ព នៅលើទីផ្សារកម្មវិធីផ្លូវការ។