Multi-License Discount Quote
Bedreigingsdatabase Mobile Malware Mandrake

Mandrake

Tegen GoldSparrow in Mobile Malware, Spyware
Vertalen naar:
Nederlands

Onderzoekers van Infosec hebben een hoogwaardige campagne ontdekt die zich richt op Android-gebruikers in Australië met een tool genaamd Mandrake . Natuurlijk kunnen de cybercriminelen achter de Mandrake-hacktool ervoor kiezen om hun focus te verleggen en zich in toekomstige campagnes op gebruikers vanaf een andere locatie te richten. De Mandrake-malware verscheen voor het eerst in 2016. Sinds malware-analisten de Mandrake-dreiging hebben opgemerkt, introduceren de makers ervan regelmatig updates. De makers van de Mandrake-dreiging hebben nieuwe functies toegevoegd, oude geoptimaliseerd, onnodige modules verwijderd en de hacktool in het algemeen verbeterd om ervoor te zorgen dat deze zeer krachtig blijft.

Mandrake verzamelt gevoelige gegevens van geïnfecteerde apparaten

De Mandrake-malware kan gemakkelijk onder duizenden en duizenden gebruikers worden verspreid . De exploitanten hanteren echter niet de aanpak van massale spam. In plaats daarvan lijken ze hun doelwitten zorgvuldig te kiezen. Er zijn momenteel slechts ongeveer 500 exemplaren actief. De Mandrake-dreiging kan worden geclassificeerd als spyware, en het lijkt erop dat de auteurs deze alleen inzetten op doelen die al een tijdje in de gaten worden gehouden .

Als de Mandrake-spyware uw Android-apparaat in gevaar brengt, kan deze een grote verscheidenheid aan taken uitvoeren. Omdat de Mandrake-dreiging als spyware wordt vermeld , is het doel ervan om belangrijke informatie van de beoogde hosts te verzamelen. Het is waarschijnlijk dat de Mandrake-spyware de operators in staat stelt de gebruikers in handen te krijgen:

  • Inloggegevens.
  • Lijst met contacten.
  • Afbeeldingen en video's opgeslagen in hun galerij.
  • Bankrekeninginformatie.
  • Betalingsdetails.
  • Persoonlijke gesprekken

    • Gezien het brede scala aan informatie dat de Mandrake-spyware verzamelt, is het waarschijnlijk dat de operators deze gebruiken voor zowel chantage-operaties als financiële fraudecampagnes.

    Omdat elke beoogde gebruiker anders door de aanvallers lijkt te worden benaderd, is het waarschijnlijk dat de slachtoffers zeer zorgvuldig worden geselecteerd. Het is waarschijnlijk dat de Mandrake-campagne wordt uitgevoerd door een zeer deskundige en zeer ervaren groep cybercriminelen die precies weten wat ze doen. Zorg ervoor dat uw Android-apparaat wordt beschermd door een echte, gerenommeerde antivirustoepassing.

    Geëvolueerde Mandrake mobiele malware richt zich op Android-gebruikers

    Een nieuwe versie van de zeer geavanceerde Android-spyware , Mandrake, is ontdekt in vijf applicaties in de Google Play Store. Deze spyware wist twee jaar lang onopgemerkt te blijven .

    Stealthy Infiltratie: de apps en hun bereik

    De vijf geïnfecteerde applicaties werden meer dan 32.000 keer gedownload voordat ze uit de Google Play Store werden verwijderd. Het merendeel van deze downloads was afkomstig uit landen als Canada, Duitsland, Italië, Mexico, Spanje, Peru en het Verenigd Koninkrijk

    Geavanceerde ontwijkingstactieken

    De nieuwe samples van Mandrake bevatten geavanceerde lagen van verduisterings- en ontwijkingstechnieken:

    • Het verplaatsen van kwaadaardige functionaliteit naar versluierde native bibliotheken
    • Certificaat vastzetten gebruiken voor veilige command-and-control (C2)-communicatie
  • Het uitvoeren van talloze tests om te detecteren of de malware op een geroot apparaat of in een geëmuleerde omgeving draaide

    • Anti-analysetechnieken

    De bijgewerkte varianten van Mandrake maakten gebruik van OLLVM (Obfuscation LLVM) om hun belangrijkste functionaliteit te verbergen. Daarnaast hebben ze verschillende sandbox-ontwijkings- en anti-analysetechnieken ingebouwd om detectie door malware-analisten te voorkomen.

    De geïnfecteerde applicaties

    De vijf applicaties die Mandrake-spyware bevatten zijn:

    AirFS (com.airft.ftrnsfr)

    Amber (com. scherp . sght )

    Astro Explorer (com.astro.dscvr)

    Hersenmatrix (com. brnmth . mtrx )

    CryptoPulsing (com. cryptopulsing .browser)

    Meerfasig infectieproces

    Fase één: de druppelaar

    De eerste infectie begint met een druppelaar die een lader lanceert. Deze lader voert de kerncomponent van de malware uit nadat deze is gedownload en gedecodeerd vanaf een C2-server .

    Fase twee: informatie verzamelen

    De payload van de tweede fase verzamelt informatie over het apparaat, waaronder:

    • Connectiviteitsstatus
    • Geïnstalleerde applicaties
    • Batterij percentage
    • Extern IP-adres
    • Huidige Google Play-versie

    Bovendien kan het de kernmodule wissen en toestemming vragen om overlays te tekenen en op de achtergrond uit te voeren.

    Fase drie: diefstal van legitimatiegegevens en meer

    De derde fase ondersteunt aanvullende opdrachten, zoals:
    Een specifieke URL in een WebView laden

    Een sessie voor scherm delen op afstand starten

    Het apparaatscherm opnemen om inloggegevens te stelen en meer malware te plaatsen

    De 'Beperkte instellingen' van Android 13 omzeilen

    Mandrake maakt gebruik van een ‘sessiegebaseerd’ pakketinstallatieprogramma om de ‘Beperkte Instellingen’-functie van Android 13 te omzeilen, die verbiedt dat sideloaded applicaties rechtstreeks om onveilige toestemmingen vragen.

    Conclusie: een steeds evoluerende dreiging

    Onderzoekers omschrijven Mandrake als een dynamisch evoluerende bedreiging, die voortdurend zijn technieken verfijnt om verdedigingsmechanismen te omzeilen en detectie te omzeilen. Dit toont de formidabele vaardigheden van de bedreigingsactoren aan en benadrukt de noodzaak van strengere controles op applicaties voordat deze op officiële app-marktplaatsen worden gepubliceerd .

Trending

Meest bekeken

Bezig met laden...