Multi-License Discount Quote
Trusseldatabase Mobile Malware Mandrake

Mandrake

Med GoldSparrow i Mobile Malware, Spyware
Oversett til:
Norsk

Infosec-forskere har avdekket en avansert kampanje rettet mot Android-brukere lokalisert i Australia med et verktøy kalt Mandrake . Selvfølgelig kan cyberskurkene bak hackerverktøyet Mandrake velge å endre fokus og målrette brukere fra et annet sted i fremtidige kampanjer. Mandrake malware dukket opp først i 2016. Helt siden malware analytikere oppdaget Mandrake trusselen, har skaperne introdusert regelmessige oppdateringer. Skaperne av Mandrake-trusselen har lagt til nye funksjoner, optimert gamle, fjernet unødvendige moduler og totalt sett forbedret hackerverktøyet for å sikre at det forblir veldig potent.

Mandrake samler inn sensitive data fra infiserte enheter

Mandrake malware kan enkelt distribueres til tusenvis på tusenvis av brukere . Operatørene bruker imidlertid ikke massespam-tilnærmingen. I stedet ser de ut til å velge sine mål nøye. Det er bare rundt 500 eksemplarer aktive for øyeblikket. Mandrake-trusselen kan klassifiseres som spionvare, og det ser ut til at forfatterne bare distribuerer den til mål som har blitt overvåket en stund.

Hvis Mandrake-spywaren kompromitterer Android-enheten din, vil den kunne utføre en lang rekke oppgaver. Siden Mandrake-trusselen er oppført som spionvare, er målet å samle inn viktig informasjon fra de målrettede vertene. Det er sannsynlig at Mandrake-spywaren lar operatørene få tak i brukerne:

  • Påloggingsinformasjon.
  • Kontaktliste.
  • Bilder og videoer lagret i galleriet deres.
  • Bankkontoinformasjon.
  • Betalingsinformasjon.
  • Personlige samtaler

    • Med tanke på det store utvalget av informasjon som Mandrake-spyware samler inn, er det sannsynlig at operatørene kan bruke det til både utpressingsoperasjoner og økonomisk svindelkampanjer.

    Siden hver målrettet bruker ser ut til å bli kontaktet av angriperne forskjellig, er det sannsynlig at ofrene velges svært nøye. Det er sannsynlig at Mandrake-kampanjen blir utført av en svært dyktig og svært erfaren gruppe nettkriminelle som vet nøyaktig hva de gjør. Sørg for at Android-enheten din er beskyttet av et ekte, anerkjent antivirusprogram.

    Evolved Mandrake Mobile Malware retter seg mot Android-brukere

    En ny iterasjon av den svært sofistikerte Android-spywaren , Mandrake, har blitt oppdaget i fem applikasjoner i Google Play Store. Dette spionprogrammet klarte å forbli uoppdaget i to år.

    Stealthy Infiltration: Appene og deres rekkevidde

    De fem infiserte applikasjonene ble lastet ned mer enn 32 000 ganger før de ble fjernet fra Google Play Store. De fleste av disse nedlastingene kom fra land inkludert Canada, Tyskland, Italia, Mexico, Spania, Peru og Storbritannia

    Avansert unnvikelsestaktikk

    De nye prøvene av Mandrake inneholdt avanserte lag med tilslørings- og unnvikelsesteknikker:

    • Flytting av ondsinnet funksjonalitet til skjulte native biblioteker
    • Bruke sertifikatfesting for sikker kommando-og-kontroll-kommunikasjon (C2).
  • Utføre en rekke tester for å oppdage om skadelig programvare kjørte på en rotet enhet eller i et emulert miljø

    • Anti-analyse teknikker

    Mandrakes oppdaterte varianter brukte OLLVM (Obfuscation LLVM) for å skjule hovedfunksjonaliteten deres . I tillegg inkorporerte de ulike sandkasseunndragelse og antianalyseteknikker for å forhindre oppdagelse av skadevareanalytikere.

    De infiserte applikasjonene

    De fem applikasjonene som ble funnet å inneholde Mandrake-spyware er:

    AirFS (com.airft.ftrnsfr)

    Amber (com. shrp . sght )

    Astro Explorer (com.astro.dscvr)

    Brain Matrix (com. brnmth . mtrx )

    CryptoPulsing (com. cryptopulsing .browser)

    Flertrinns infeksjonsprosess

    Etappe: The Dropper

    Den første infeksjonen begynner med en dropper som starter en laster. Denne lasteren kjører kjernekomponenten av skadelig programvare etter å ha lastet ned og dekryptert den fra en C2-server .

    Trinn to: Informasjonsinnsamling

    Nyttelasten i andre trinn samler informasjon om enheten, inkludert:

    • Tilkoblingsstatus
    • Installerte applikasjoner
    • Batteri prosent
    • Ekstern IP-adresse
    • Gjeldende Google Play-versjon

    I tillegg kan den slette kjernemodulen og be om tillatelser til å tegne overlegg og kjøre i bakgrunnen.

    Trinn tre: Legitimasjonstyveri og mer

    Det tredje trinnet støtter tilleggskommandoer, for eksempel:
    Laste inn en bestemt URL i en WebView

    Starter en ekstern skjermdelingsøkt

    Tar opp enhetsskjermen for å stjele legitimasjon og slippe mer skadelig programvare

    Omgå Android 13s “Begrensede innstillinger”

    Mandrake bruker et «øktbasert» pakkeinstallasjonsprogram for å omgå Android 13s «Begrensede innstillinger»-funksjonen, som forbyr sidelastede applikasjoner direkte å be om usikre tillatelser.

    Konklusjon: En trussel i stadig utvikling

    Forskere beskriver Mandrake som en trussel i dynamisk utvikling, som kontinuerlig raffinerer teknikkene sine for å omgå forsvarsmekanismer og unngå oppdagelse. Dette viser trusselaktørenes formidable ferdigheter og fremhever nødvendigheten av strengere kontroller for applikasjoner før de publiseres på offisielle appmarkedsplasser.

Trender

Mest sett

Laster inn...