Multi-License Discount Quote
Pangkalan Data Ancaman Mobile Malware Mandrake

Mandrake

Menjelang GoldSparrow pada Mobile Malware, Spyware
Terjemahkan ke
بهاس ملايو

Penyelidik Infosec telah menemui kempen mewah yang menyasarkan pengguna Android yang terletak di Australia dengan alat yang dipanggil Mandrake . Sudah tentu, penjahat siber di sebalik alat penggodaman Mandrake boleh memilih untuk menukar fokus mereka dan menyasarkan pengguna dari lokasi lain dalam kempen akan datang. Malware Mandrake pertama kali muncul pada 2016. Sejak penganalisis perisian hasad melihat ancaman Mandrake, penciptanya telah memperkenalkan kemas kini biasa. Pencipta ancaman Mandrake telah menambah ciri baharu, mengoptimumkan ciri lama, mengalih keluar modul yang tidak diperlukan dan secara keseluruhannya menambah baik alat penggodaman untuk memastikan ia kekal sangat kuat.

Mandrake Mengumpul Data Sensitif daripada Peranti Dijangkiti

Malware Mandrake boleh diedarkan kepada beribu-ribu pengguna dengan mudah . Walau bagaimanapun, pengendalinya tidak mengambil pendekatan spam massa. Sebaliknya, mereka kelihatan memilih sasaran mereka dengan berhati-hati. Hanya terdapat kira-kira 500 salinan yang aktif pada masa ini. Ancaman Mandrake boleh diklasifikasikan sebagai perisian pengintip, dan nampaknya pengarangnya hanya mengerahkannya ke sasaran yang telah dipantau untuk seketika.

Jika perisian pengintip Mandrake menjejaskan peranti Android anda, ia akan dapat melaksanakan pelbagai jenis tugas. Memandangkan ancaman Mandrake disenaraikan sebagai perisian pengintip, matlamatnya adalah untuk mengumpul maklumat penting daripada hos yang disasarkan. Berkemungkinan perisian pengintip Mandrake membenarkan pengendalinya mendapatkan pengguna:

  • Bukti kelayakan log masuk.
  • Senarai kenalan.
  • Imej dan video yang disimpan dalam galeri mereka.
  • Maklumat akaun bank.
  • Butiran pembayaran.
  • Perbualan peribadi

    • Dengan mengambil kira pelbagai maklumat yang dikumpul perisian pengintip Mandrake, kemungkinan pengendalinya mungkin menggunakannya untuk operasi pemerasan dan kempen penipuan kewangan.

    Memandangkan setiap pengguna yang disasarkan nampaknya didekati oleh penyerang secara berbeza, kemungkinan besar mangsa dipilih dengan sangat berhati-hati. Berkemungkinan kempen Mandrake dijalankan oleh kumpulan penjenayah siber yang berkemahiran tinggi dan berpengalaman yang tahu apa yang mereka lakukan dengan tepat. Pastikan peranti Android anda dilindungi oleh aplikasi anti-virus yang tulen dan bereputasi baik.

    Perisian Hasad Mudah Alih Mandrake yang Berevolusi Menyasarkan Pengguna Android

    Satu lelaran baharu perisian pengintip Android yang sangat canggih , Mandrake, telah ditemui bersembunyi dalam lima aplikasi di Gedung Google Play. Perisian pengintip ini berjaya kekal tidak dapat dikesan selama dua tahun.

    Penyusupan Senyap: Apl dan Jangkauan Mereka

    Lima aplikasi yang dijangkiti itu dimuat turun lebih daripada 32,000 kali sebelum dialih keluar daripada Gedung Google Play. Majoriti muat turun ini berasal dari negara termasuk Kanada, Jerman, Itali, Mexico, Sepanyol, Peru dan UK

    Taktik Pengelakan Lanjutan

    Sampel baharu Mandrake menampilkan lapisan lanjutan bagi teknik pengelakan dan pengelakan:

    • Mengalihkan fungsi berniat jahat ke perpustakaan asli yang dikaburkan
    • Menggunakan penyematan sijil untuk komunikasi arahan dan kawalan (C2) yang selamat
  • Menjalankan pelbagai ujian untuk mengesan sama ada perisian hasad berjalan pada peranti yang di-root atau dalam persekitaran yang dicontohi

    • Teknik Anti-Analisis

    Varian kemas kini Mandrake menggunakan OLLVM (Obfuscation LLVM) untuk menyembunyikan fungsi utamanya . Selain itu, mereka menggabungkan pelbagai teknik pengelakan kotak pasir dan anti-analisis untuk mencegah pengesanan oleh penganalisis perisian hasad.

    Aplikasi yang Dijangkiti

    Lima aplikasi yang didapati mengandungi perisian pengintip Mandrake ialah:

    AirFS (com.airft.ftrnsfr)

    Amber (com. shrp . Sght )

    Astro Explorer (com.astro.dscvr)

    Matriks Otak (com. brnmth . mtrx )

    CryptoPulsing (com. cryptopulsing .browser)

    Proses Jangkitan Pelbagai Peringkat

    Peringkat Satu: Penitis

    Jangkitan awal bermula dengan penitis yang melancarkan pemuat. Pemuat ini melaksanakan komponen teras perisian hasad selepas memuat turun dan menyahsulitnya daripada pelayan C2 .

    Peringkat Kedua: Pengumpulan Maklumat

    Muatan peringkat kedua mengumpul maklumat tentang peranti, termasuk:

    • Status ketersambungan
    • Aplikasi yang dipasang
    • Peratusan bateri
    • Alamat IP luaran
    • Versi Google Play semasa

    Selain itu, ia boleh memadam modul teras dan meminta kebenaran untuk melukis tindanan dan berjalan di latar belakang.

    Peringkat Tiga: Kecurian Tauliah dan Banyak Lagi

    Peringkat ketiga menyokong arahan tambahan, seperti:
    Memuatkan URL tertentu dalam WebView

    Memulakan sesi perkongsian skrin jauh

    Merakam skrin peranti untuk mencuri bukti kelayakan dan menggugurkan lebih banyak perisian hasad

    Memintas 'Tetapan Terhad' Android 13

    Mandrake menggunakan pemasang pakej 'berasaskan sesi' untuk memintas ciri 'Tetapan Terhad' Android 13, yang melarang aplikasi yang dimuatkan sisi daripada meminta kebenaran yang tidak selamat secara langsung.

    Kesimpulan: Ancaman Yang Selalu Berkembang

    Penyelidik menggambarkan Mandrake sebagai ancaman yang berubah secara dinamik, terus memperhalusi tekniknya untuk memintas mekanisme pertahanan dan mengelak pengesanan. Ini mempamerkan kemahiran hebat pelakon ancaman dan menyerlahkan keperluan untuk kawalan yang lebih ketat untuk aplikasi sebelum ia diterbitkan di pasaran aplikasi rasmi.

Trending

Paling banyak dilihat

Memuatkan...