Mandrake
इन्फोसेक अनुसन्धानकर्ताहरूले म्यान्ड्रेक नामक उपकरणको साथ अष्ट्रेलियामा अवस्थित एन्ड्रोइड प्रयोगकर्ताहरूलाई लक्षित गर्ने उच्च-अन्त अभियानको पर्दाफास गरेका छन् । निस्सन्देह, Mandrake ह्याकिङ उपकरण पछाडि साइबर बदमाशहरूले आफ्नो फोकस परिवर्तन गर्न र भविष्यका अभियानहरूमा फरक स्थानबाट प्रयोगकर्ताहरूलाई लक्षित गर्न छनौट गर्न सक्छन्। Mandrake मालवेयर पहिलो पटक 2016 मा देखा पर्यो। मालवेयर विश्लेषकहरूले Mandrake खतरा देखेदेखि, यसका सिर्जनाकर्ताहरूले नियमित अपडेटहरू प्रस्तुत गर्दै आएका छन् । Mandrake खतराका सिर्जनाकर्ताहरूले नयाँ सुविधाहरू थपेका छन्, पुरानाहरूलाई अप्टिमाइज गरेका छन्, अनावश्यक मोड्युलहरू हटाएका छन्, र समग्रमा ह्याकिङ उपकरणलाई धेरै शक्तिशाली रहेको सुनिश्चित गर्न सुधार गरेका छन्।
सामग्रीको तालिका
Mandrake संक्रमित यन्त्रहरूबाट संवेदनशील डाटा सङ्कलन गर्दछ
Mandrake मालवेयर हजारौं र हजारौं प्रयोगकर्ताहरूलाई सजिलै वितरण गर्न सकिन्छ । यद्यपि, यसको अपरेटरहरूले मास-स्प्याम दृष्टिकोण लिइरहेका छैनन् । बरु, तिनीहरूले आफ्नो लक्ष्य सावधानीपूर्वक चयन गरेको देखिन्छ। त्यहाँ हाल 500 प्रतिहरू मात्र सक्रिय छन्। म्यान्ड्रेक खतरालाई स्पाइवेयरको रूपमा वर्गीकृत गर्न सकिन्छ, र यस्तो देखिन्छ कि यसका लेखकहरूले यसलाई केही समयको लागि अनुगमन गरिएको लक्ष्यहरूमा मात्र प्रयोग गर्दैछन् ।
यदि Mandrake स्पाइवेयरले तपाईंको एन्ड्रोइड उपकरणमा सम्झौता गर्छ भने, यसले कार्यहरूको ठूलो विविधता गर्न सक्षम हुनेछ । Mandrake खतरा स्पाइवेयरको रूपमा सूचीबद्ध भएकोले, यसको लक्ष्य लक्षित होस्टहरूबाट महत्त्वपूर्ण जानकारी सङ्कलन गर्नु हो । यो सम्भव छ कि Mandrake स्पाइवेयरले यसको अपरेटरहरूलाई प्रयोगकर्ताहरूमा आफ्नो हात प्राप्त गर्न अनुमति दिन्छ:
Mandrake स्पाइवेयरले सङ्कलन गर्ने विस्तृत जानकारीलाई ध्यानमा राख्दै , यसका अपरेटरहरूले यसलाई ब्ल्याकमेलिङ सञ्चालन र वित्तीय ठगी अभियान दुवैका लागि प्रयोग गरिरहेको हुनसक्छ ।
प्रत्येक लक्षित प्रयोगकर्तालाई आक्रमणकारीहरूले फरक तरिकाले सम्पर्क गरेको देखिन्छ, यो सम्भव छ कि पीडितहरूलाई धेरै सावधानीपूर्वक चयन गरिएको छ। यो सम्भव छ कि Mandrake अभियान एक उच्च-कुशल र धेरै अनुभवी साइबर अपराधीहरूको समूह द्वारा गरिन्छ जसलाई तिनीहरूले वास्तवमा के गर्दैछन् भनेर जान्दछन्। सुनिश्चित गर्नुहोस् कि तपाईंको एन्ड्रोइड उपकरण वास्तविक, सम्मानित एन्टि-भाइरस अनुप्रयोग द्वारा सुरक्षित छ।
विकसित Mandrake मोबाइल मालवेयरले एन्ड्रोइड प्रयोगकर्ताहरूलाई लक्षित गर्दछ
अत्यधिक परिष्कृत एन्ड्रोइड स्पाइवेयरको नयाँ पुनरावृत्ति , म्यान्ड्रेक, गुगल प्ले स्टोरमा पाँचवटा अनुप्रयोगहरू भित्र लुकेको फेला परेको छ। यो स्पाइवेयर दुई वर्षसम्म पत्ता नलागेको थियो ।
चुपचाप घुसपैठ: एप्स र तिनीहरूको पहुँच
गुगल प्ले स्टोरबाट हटाइनु अघि पाँच संक्रमित अनुप्रयोगहरू 32,000 भन्दा बढी पटक डाउनलोड गरिएको थियो। यी डाउनलोडहरू मध्ये अधिकांश क्यानाडा, जर्मनी, इटाली, मेक्सिको, स्पेन, पेरु, र यूके लगायतका देशहरूबाट उत्पन्न भएका हुन्।
उन्नत चोरी रणनीति
Mandrake को नयाँ नमूनाहरूले अस्पष्टता र चोरी प्रविधिहरूको उन्नत तहहरू देखाएको छ:
- अस्पष्ट नेटिभ लाइब्रेरीहरूमा दुर्भावनापूर्ण कार्यक्षमता सार्दै
- सुरक्षित आदेश र नियन्त्रण (C2) संचारको लागि प्रमाणपत्र पिनिङ प्रयोग गर्दै
एन्टि-एनालिसिस टेक्निकहरू
Mandrake को अपडेट गरिएको भेरियन्टहरूले OLLVM (Obfuscation LLVM) लाई आफ्नो मुख्य कार्यक्षमता लुकाउन प्रयोग गर्यो । थप रूपमा, तिनीहरूले मालवेयर विश्लेषकहरू द्वारा पत्ता लगाउनबाट रोक्न विभिन्न स्यान्डबक्स चोरी र एन्टि-विश्लेषण प्रविधिहरू समावेश गरे।
संक्रमित अनुप्रयोगहरू
म्यान्ड्रेक स्पाइवेयर समावेश गर्न फेला परेका पाँच अनुप्रयोगहरू हुन्:
AirFS (com.airft.ftrnsfr)
एम्बर (com. shrp . sght )
एस्ट्रो एक्सप्लोरर (com.astro.dscvr)
ब्रेन म्याट्रिक्स (com. brnmth . mtrx )
CryptoPulsing (com. cryptopulsing .browser)
बहु-चरण संक्रमण प्रक्रिया
स्टेज एक: ड्रपर
प्रारम्भिक संक्रमण ड्रपरबाट सुरु हुन्छ जसले लोडर सुरु गर्छ। यो लोडरले C2 सर्भरबाट डाउनलोड र डिक्रिप्ट गरेपछि मालवेयरको कोर कम्पोनेन्ट कार्यान्वयन गर्छ ।
दोस्रो चरण: सूचना सङ्कलन
दोस्रो चरणको पेलोडले उपकरणको बारेमा जानकारी सङ्कलन गर्दछ, जसमा:
- जडान स्थिति
- स्थापित अनुप्रयोगहरू
- ब्याट्री प्रतिशत
- बाह्य आईपी ठेगाना
- हालको गुगल प्ले संस्करण
थप रूपमा, यसले कोर मोड्युललाई मेटाउन सक्छ र ओभरलेहरू कोर्न र पृष्ठभूमिमा चलाउन अनुमतिहरू अनुरोध गर्न सक्छ।
चरण तीन: प्रमाणपत्र चोरी र थप
तेस्रो चरणले अतिरिक्त आदेशहरूलाई समर्थन गर्दछ, जस्तै:
WebView मा एक विशिष्ट URL लोड गर्दै
रिमोट स्क्रिन साझेदारी सत्र प्रारम्भ गर्दै
प्रमाणहरू चोरी गर्न र थप मालवेयर छोड्न उपकरण स्क्रिन रेकर्ड गर्दै
एन्ड्रोइड 13 को 'प्रतिबन्धित सेटिङहरू' बाइपास गर्दै
Mandrake ले एन्ड्रोइड 13 को 'प्रतिबन्धित सेटिङ्स' सुविधालाई बाइपास गर्न 'सत्र-आधारित' प्याकेज स्थापनाकर्तालाई रोजगार दिन्छ, जसले साइडलोड गरिएका अनुप्रयोगहरूलाई सीधै असुरक्षित अनुमतिहरू अनुरोध गर्नबाट रोक्छ।
निष्कर्ष: सधैं विकसित हुने खतरा
अन्वेषकहरूले म्यान्ड्रेकलाई गतिशील रूपमा विकसित हुने खतराको रूपमा वर्णन गर्छन्, रक्षा संयन्त्रहरू बाइपास गर्न र पत्ता लगाउनबाट बच्न यसको प्रविधिहरू निरन्तर परिष्कृत गर्दै। यसले धम्की दिने अभिनेताहरूको डरलाग्दो सीपहरू प्रदर्शन गर्दछ र आधिकारिक एप बजारहरूमा प्रकाशित हुनु अघि अनुप्रयोगहरूको लागि कडा नियन्त्रणहरूको आवश्यकतालाई हाइलाइट गर्दछ ।
