Mandrake
„Infosec“ tyrėjai atskleidė aukščiausios klasės kampaniją, skirtą „Android“ naudotojams Australijoje, naudodami įrankį „ Mandrake“ . Žinoma, kibernetiniai sukčiai, dirbantys su „Mandrake“ įsilaužimo įrankiu, gali nuspręsti pakeisti savo dėmesį ir nukreipti naudotojus iš kitos vietos būsimose kampanijose. „Mandrake“ kenkėjiška programa pirmą kartą pasirodė 2016 m. Nuo tada, kai kenkėjiškų programų analitikai pastebėjo „Mandrake“ grėsmę, jos kūrėjai reguliariai atnaujina . „Mandrake“ grėsmės kūrėjai pridėjo naujų funkcijų, optimizavo senas, pašalino nereikalingus modulius ir apskritai patobulino įsilaužimo įrankį, siekdami užtikrinti, kad jis išliktų labai galingas.
Turinys
Mandrake renka neskelbtinus duomenis iš užkrėstų įrenginių
„Mandrake“ kenkėjiška programa gali būti lengvai išplatinta tūkstančiams vartotojų . Tačiau jos operatoriai nesilaiko masinio šlamšto metodo. Atrodo, kad jie atidžiai renkasi savo taikinius. Šiuo metu yra tik apie 500 aktyvių kopijų. „Mandrake“ grėsmė gali būti priskirta šnipinėjimo programoms, ir atrodo, kad jos autoriai ją dislokuoja tik taikiniuose, kurie buvo stebimi kurį laiką.
Jei „Mandrake“ šnipinėjimo programa pažeidžia jūsų „Android“ įrenginį, ji galės atlikti daugybę užduočių. Kadangi „Mandrake“ grėsmė yra įtraukta į šnipinėjimo programų sąrašą, jos tikslas yra rinkti svarbią informaciją iš tikslinių kompiuterių. Tikėtina, kad „Mandrake“ šnipinėjimo programa leidžia jos operatoriams užkliūti vartotojams:
Turint omenyje platų Mandrake šnipinėjimo programos renkamos informacijos spektrą, tikėtina, kad jos operatoriai gali ją naudoti ir šantažo operacijoms, ir finansinio sukčiavimo kampanijoms.
Kadangi atrodo, kad į kiekvieną tikslinį vartotoją užpuolikai kreipiasi skirtingai, tikėtina, kad aukos atrenkamos itin kruopščiai. Tikėtina, kad kampaniją „Mandrake“ vykdo aukštos kvalifikacijos ir labai patyrusi kibernetinių nusikaltėlių grupė, kuri tiksliai žino, ką daro. Įsitikinkite, kad jūsų „Android“ įrenginys yra apsaugotas autentiška, patikima antivirusine programa.
Išvystyta „Mandrake Mobile“ kenkėjiška programa skirta „Android“ naudotojams
Penkiose „Google Play“ parduotuvės programose buvo aptikta nauja itin sudėtingos „Android“ šnipinėjimo programos „Mandrake“ iteracija. Ši šnipinėjimo programa sugebėjo išlikti nepastebėta dvejus metus.
Slaptas įsiskverbimas: programos ir jų pasiekiamumas
Penkios užkrėstos programos buvo atsisiųstos daugiau nei 32 000 kartų, kol jos buvo pašalintos iš „Google Play“ parduotuvės. Dauguma šių atsisiuntimų buvo iš tokių šalių kaip Kanada, Vokietija, Italija, Meksika, Ispanija, Peru ir JK
Išplėstinė vengimo taktika
Naujuose „Mandrake“ pavyzdžiuose buvo pažangūs užmaskavimo ir vengimo būdai:
- Kenkėjiškų funkcijų perkėlimas į užmaskuotas vietines bibliotekas
- Sertifikatų prisegimo naudojimas saugiam komandų ir valdymo (C2) ryšiui
Anti-analizės metodai
Atnaujinti „Mandrake“ variantai naudojo OLLVM (Obfuscation LLVM), kad paslėptų pagrindines jų funkcijas. Be to, jie įtraukė įvairius smėlio dėžės vengimo ir antianalizės metodus, kad kenkėjiškų programų analitikai neaptiktų.
Užkrėstos programos
Penkios programos, kuriose yra „Mandrake“ šnipinėjimo programų, yra šios:
AirFS (com.airft.ftrnsfr)
Gintaras (com. shrp . sght )
Astro Explorer (com.astro.dscvr)
Smegenų matrica (com. brnmth . mtrx )
CryptoPulsing (com. cryptopulsing .browser)
Daugiapakopis infekcijos procesas
Pirmas etapas: lašintuvas
Pradinė infekcija prasideda lašintuvu, kuris paleidžia krautuvą. Atsisiuntus ir iššifravus ją iš C2 serverio , šis įkroviklis vykdo pagrindinį kenkėjiškos programos komponentą .
Antras etapas: informacijos rinkimas
Antrojo etapo naudingoji apkrova renka informaciją apie įrenginį, įskaitant:
- Ryšio būsena
- Įdiegtos programos
- Baterijos procentas
- Išorinis IP adresas
- Dabartinė Google Play versija
Be to, jis gali nuvalyti pagrindinį modulį ir paprašyti leidimo piešti perdangas ir veikti fone.
Trečias etapas: kredencialų vagystė ir kt
Trečiasis etapas palaiko papildomas komandas, tokias kaip:
Konkretaus URL įkėlimas į „WebView“.
Pradedama nuotolinio ekrano bendrinimo sesija
Įrenginio ekrano įrašymas, siekiant pavogti kredencialus ir pašalinti daugiau kenkėjiškų programų
„Android 13“ apribotų nustatymų aplenkimas
„Mandrake“ naudoja „seansu pagrįstą“ paketo diegimo programą, kad apeitų „Android 13“ „ribotų nustatymų“ funkciją, kuri neleidžia įkeltoms programoms tiesiogiai prašyti nesaugių leidimų.
Išvada: nuolat besivystanti grėsmė
Tyrėjai apibūdina Mandrake kaip dinamiškai besivystančią grėsmę, nuolat tobulinančią savo metodus, kaip apeiti gynybos mechanizmus ir išvengti aptikimo. Tai parodo didžiulius grėsmės veikėjų įgūdžius ir pabrėžia būtinybę griežtinti programų kontrolę prieš jas paskelbiant oficialiose programų prekyvietėse.
