Mandrake
Infosec pētnieki ir atklājuši augstas klases kampaņu, kuras mērķauditorija ir Android lietotāji Austrālijā , izmantojot rīku Mandrake . Protams, kiberkrāpnieki, kas izmanto Mandrake uzlaušanas rīku, turpmākajās kampaņās var izvēlēties mainīt savu fokusu un atlasīt lietotājus no citas atrašanās vietas. Mandrake ļaunprogrammatūra pirmo reizi parādījās 2016. gadā. Kopš ļaunprogrammatūras analītiķi pamanīja Mandrake draudus, tās veidotāji ir ieviesuši regulārus atjauninājumus. Mandrake draudu radītāji ir pievienojuši jaunas funkcijas, optimizējuši vecos, noņēmuši nevajadzīgos moduļus un kopumā uzlabojuši uzlaušanas rīku, lai nodrošinātu, ka tas joprojām ir ļoti spēcīgs.
Satura rādītājs
Mandrake apkopo sensitīvus datus no inficētām ierīcēm
Mandrake ļaunprātīgo programmatūru var viegli izplatīt tūkstošiem un tūkstošiem lietotāju . Tomēr tā operatori neizmanto masu surogātpasta pieeju. Tā vietā viņi, šķiet, rūpīgi izvēlas savus mērķus. Pašlaik ir pieejami tikai aptuveni 500 eksemplāri. Mandrake draudus var klasificēt kā spiegprogrammatūru, un šķiet, ka tā autori to izvieto tikai mērķos, kas kādu laiku ir uzraudzīti .
Ja Mandrake spiegprogrammatūra apdraud jūsu Android ierīci, tā varēs veikt dažādus uzdevumus. Tā kā Mandrake draudi ir uzskaitīti kā spiegprogrammatūra, tā mērķis ir savākt svarīgu informāciju no mērķa saimniekiem. Visticamāk, ka Mandrake spiegprogrammatūra ļauj tās operatoriem iekarot lietotājus:
- Pieteikšanās akreditācijas dati.
- Kontaktu saraksts.
- Viņu galerijā saglabātie attēli un video .
- Bankas konta informācija.
- Maksājumu informācija.
- Personiskas sarunas
Ņemot vērā plašo Mandrake spiegprogrammatūras apkopotās informācijas klāstu, iespējams, ka tās operatori to izmanto gan šantāžas operācijām, gan finanšu krāpšanas kampaņām.
Tā kā šķiet, ka katru mērķa lietotāju uzbrucēji uzrunā atšķirīgi, visticamāk, upuri tiek atlasīti ļoti rūpīgi. Visticamāk, ka Mandrake kampaņu īsteno augsti kvalificēta un ļoti pieredzējusi kibernoziedznieku grupa, kas precīzi zina, ko dara. Pārliecinieties, vai jūsu Android ierīce ir aizsargāta ar īstu, cienījamu pretvīrusu lietojumprogrammu.
Attīstītā Mandrake Mobile ļaunprogrammatūra ir paredzēta Android lietotājiem
Ir atklāta jauna ļoti sarežģītas Android spiegprogrammatūras Mandrake iterācija, kas slēpjas piecās Google Play veikala lietojumprogrammās. Šai spiegprogrammatūrai izdevās palikt neatklātai divus gadus.
Slepena iefiltrēšanās: lietotnes un to sasniedzamība
Piecas inficētās lietojumprogrammas tika lejupielādētas vairāk nekā 32 000 reižu, pirms tās tika izņemtas no Google Play veikala. Lielākā daļa šo lejupielāžu tika veiktas no tādām valstīm kā Kanāda, Vācija, Itālija, Meksika, Spānija, Peru un Apvienotā Karaliste.
Uzlabota izvairīšanās taktika
Jaunajos Mandrake paraugos bija uzlaboti slēpšanas un izvairīšanās paņēmienu slāņi:
-
- Ļaunprātīgas funkcionalitātes pārvietošana uz neskaidrām vietējām bibliotēkām
- Sertifikātu piespraušanas izmantošana drošai komandu un kontroles (C2) sakariem
- Daudzu testu veikšana, lai noteiktu, vai ļaunprātīgā programmatūra darbojās ierīcē ar sakņu sistēmu vai emulētā vidē
Anti-analīzes metodes
Mandrake atjauninātajos variantos tika izmantota OLLVM (Obfuscation LLVM), lai slēptu to galveno funkcionalitāti. Turklāt tie ietvēra dažādas smilškastes apiešanas un pretanalīzes metodes, lai novērstu ļaunprātīgas programmatūras analītiķu atklāšanu.
Inficētās lietojumprogrammas
Piecas lietojumprogrammas, kurās ir Mandrake spiegprogrammatūra, ir šādas:
AirFS (com.airft.ftrnsfr)
Dzintars (com. shrp . sght )
Astro Explorer (com.astro.dscvr)
Brain Matrix (com. brnmth . mtrx )
CryptoPulsing (com. cryptopulsing .browser)
Daudzpakāpju infekcijas process
Pirmais posms: Pilinātājs
Sākotnējā infekcija sākas ar pilinātāju, kas palaiž iekrāvēju. Šis ielādētājs izpilda ļaunprātīgas programmatūras galveno komponentu pēc tās lejupielādes un atšifrēšanas no C2 servera .
Otrais posms: informācijas vākšana
Otrā posma kravnesība apkopo informāciju par ierīci, tostarp:
-
- Savienojuma statuss
-
- Instalētas lietojumprogrammas
-
- Akumulatora uzlādes līmenis procentos
-
- Ārējā IP adrese
-
- Pašreizējā Google Play versija
Turklāt tas var notīrīt pamata moduli un pieprasīt atļaujas zīmēt pārklājumus un darboties fonā.
Trešais posms: akreditācijas datu zādzība un daudz kas cits
Trešais posms atbalsta papildu komandas, piemēram:
Konkrēta URL ielāde WebView
Attālās ekrāna koplietošanas sesijas sākšana
Ierakstiet ierīces ekrānu, lai nozagtu akreditācijas datus un izmestu vairāk ļaunprātīgas programmatūras
Android 13 “Ierobežoto iestatījumu” apiešana
Mandrake izmanto uz sesiju balstītu pakotņu instalētāju, lai apietu operētājsistēmas Android 13 funkciju “Ierobežotie iestatījumi”, kas neļauj blakusielādētām lietojumprogrammām tieši pieprasīt nedrošas atļaujas.
Secinājums: draudi, kas pastāvīgi attīstās
Pētnieki raksturo Mandrake kā dinamiski mainīgu draudu, kas nepārtraukti pilnveido savus paņēmienus, lai apietu aizsardzības mehānismus un izvairītos no atklāšanas. Tas parāda apdraudējuma dalībnieku milzīgās prasmes un uzsver nepieciešamību pēc stingrākas lietojumprogrammu kontroles, pirms tās tiek publicētas oficiālajos lietotņu tirgos.
