Mandrake

Infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ Mandrake ਨਾਮਕ ਟੂਲ ਨਾਲ ਆਸਟ੍ਰੇਲੀਆ ਵਿੱਚ ਸਥਿਤ ਐਂਡਰਾਇਡ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇੱਕ ਉੱਚ-ਅੰਤ ਦੀ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ । ਬੇਸ਼ੱਕ, ਮੈਨਡ੍ਰੇਕ ਹੈਕਿੰਗ ਟੂਲ ਦੇ ਪਿੱਛੇ ਸਾਈਬਰ ਕਰੌਕਸ ਆਪਣੇ ਫੋਕਸ ਨੂੰ ਬਦਲਣ ਦੀ ਚੋਣ ਕਰ ਸਕਦੇ ਹਨ ਅਤੇ ਭਵਿੱਖ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਕਿਸੇ ਵੱਖਰੇ ਸਥਾਨ ਤੋਂ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਸਕਦੇ ਹਨ. Mandrake ਮਾਲਵੇਅਰ ਪਹਿਲੀ ਵਾਰ 2016 ਵਿੱਚ ਉਭਰਿਆ ਸੀ। ਜਦੋਂ ਤੋਂ ਮਾਲਵੇਅਰ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ Mandrake ਖਤਰੇ ਨੂੰ ਦੇਖਿਆ ਹੈ, ਇਸਦੇ ਨਿਰਮਾਤਾ ਨਿਯਮਿਤ ਅੱਪਡੇਟ ਪੇਸ਼ ਕਰ ਰਹੇ ਹਨ । ਮੈਂਡ੍ਰੇਕ ਧਮਕੀ ਦੇ ਸਿਰਜਣਹਾਰਾਂ ਨੇ ਨਵੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਸ਼ਾਮਲ ਕੀਤੀਆਂ ਹਨ, ਪੁਰਾਣੇ ਨੂੰ ਅਨੁਕੂਲਿਤ ਕੀਤਾ ਹੈ, ਬੇਲੋੜੇ ਮੋਡਿਊਲਾਂ ਨੂੰ ਹਟਾ ਦਿੱਤਾ ਹੈ, ਅਤੇ ਸਮੁੱਚੇ ਤੌਰ 'ਤੇ ਹੈਕਿੰਗ ਟੂਲ ਵਿੱਚ ਸੁਧਾਰ ਕੀਤਾ ਹੈ ਤਾਂ ਜੋ ਇਹ ਯਕੀਨੀ ਬਣਾਇਆ ਜਾ ਸਕੇ ਕਿ ਇਹ ਬਹੁਤ ਸ਼ਕਤੀਸ਼ਾਲੀ ਰਹੇ।

ਮੈਂਡ੍ਰੇਕ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਇਕੱਠਾ ਕਰਦਾ ਹੈ

Mandrake ਮਾਲਵੇਅਰ ਨੂੰ ਹਜ਼ਾਰਾਂ ਅਤੇ ਹਜ਼ਾਰਾਂ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਆਸਾਨੀ ਨਾਲ ਵੰਡਿਆ ਜਾ ਸਕਦਾ ਹੈ । ਹਾਲਾਂਕਿ, ਇਸਦੇ ਸੰਚਾਲਕ ਮਾਸ-ਸਪੈਮ ਪਹੁੰਚ ਨਹੀਂ ਲੈ ਰਹੇ ਹਨ । ਇਸ ਦੀ ਬਜਾਏ, ਉਹ ਆਪਣੇ ਨਿਸ਼ਾਨੇ ਨੂੰ ਧਿਆਨ ਨਾਲ ਚੁਣਦੇ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ. ਵਰਤਮਾਨ ਵਿੱਚ ਸਿਰਫ 500 ਕਾਪੀਆਂ ਸਰਗਰਮ ਹਨ। ਮੈਂਡਰੇਕ ਧਮਕੀ ਨੂੰ ਸਪਾਈਵੇਅਰ ਵਜੋਂ ਸ਼੍ਰੇਣੀਬੱਧ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਅਤੇ ਅਜਿਹਾ ਲਗਦਾ ਹੈ ਕਿ ਇਸਦੇ ਲੇਖਕ ਇਸ ਨੂੰ ਸਿਰਫ ਉਹਨਾਂ ਟੀਚਿਆਂ 'ਤੇ ਤਾਇਨਾਤ ਕਰ ਰਹੇ ਹਨ ਜਿਨ੍ਹਾਂ ਦੀ ਥੋੜ੍ਹੇ ਸਮੇਂ ਲਈ ਨਿਗਰਾਨੀ ਕੀਤੀ ਗਈ ਹੈ।

ਜੇਕਰ Mandrake ਸਪਾਈਵੇਅਰ ਤੁਹਾਡੇ ਐਂਡਰੌਇਡ ਡਿਵਾਈਸ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦਾ ਹੈ, ਤਾਂ ਇਹ ਬਹੁਤ ਸਾਰੇ ਕਾਰਜਾਂ ਨੂੰ ਕਰਨ ਦੇ ਯੋਗ ਹੋਵੇਗਾ । ਕਿਉਂਕਿ ਮੈਂਡਰੇਕ ਧਮਕੀ ਨੂੰ ਸਪਾਈਵੇਅਰ ਵਜੋਂ ਸੂਚੀਬੱਧ ਕੀਤਾ ਗਿਆ ਹੈ , ਇਸਦਾ ਟੀਚਾ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਮੇਜ਼ਬਾਨਾਂ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ ਹੈ । ਇਹ ਸੰਭਾਵਨਾ ਹੈ ਕਿ ਮੈਂਡ੍ਰੇਕ ਸਪਾਈਵੇਅਰ ਆਪਣੇ ਆਪਰੇਟਰਾਂ ਨੂੰ ਉਪਭੋਗਤਾਵਾਂ 'ਤੇ ਹੱਥ ਪਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ:

• ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰ।

• ਸੰਪਰਕ ਸੂਚੀ।

• ਉਹਨਾਂ ਦੀ ਗੈਲਰੀ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀਆਂ ਤਸਵੀਰਾਂ ਅਤੇ ਵੀਡੀਓ।

• ਬੈਂਕ ਖਾਤੇ ਦੀ ਜਾਣਕਾਰੀ।

• ਭੁਗਤਾਨ ਵੇਰਵੇ।

• ਨਿੱਜੀ ਗੱਲਬਾਤ

Mandrake ਸਪਾਈਵੇਅਰ ਦੁਆਰਾ ਇਕੱਠੀ ਕੀਤੀ ਜਾਣ ਵਾਲੀ ਜਾਣਕਾਰੀ ਦੀ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਧਿਆਨ ਵਿੱਚ ਰੱਖਦੇ ਹੋਏ , ਇਹ ਸੰਭਾਵਨਾ ਹੈ ਕਿ ਇਸਦੇ ਸੰਚਾਲਕ ਇਸਦੀ ਵਰਤੋਂ ਬਲੈਕਮੇਲਿੰਗ ਓਪਰੇਸ਼ਨਾਂ ਅਤੇ ਵਿੱਤੀ ਧੋਖਾਧੜੀ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਦੋਵਾਂ ਲਈ ਕਰ ਰਹੇ ਹਨ।

ਕਿਉਂਕਿ ਹਰੇਕ ਨਿਸ਼ਾਨਾ ਉਪਭੋਗਤਾ ਨੂੰ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਵੱਖਰੇ ਤਰੀਕੇ ਨਾਲ ਸੰਪਰਕ ਕੀਤਾ ਜਾਪਦਾ ਹੈ, ਇਸ ਲਈ ਸੰਭਾਵਨਾ ਹੈ ਕਿ ਪੀੜਤਾਂ ਨੂੰ ਬਹੁਤ ਧਿਆਨ ਨਾਲ ਚੁਣਿਆ ਗਿਆ ਹੈ। ਇਹ ਸੰਭਾਵਨਾ ਹੈ ਕਿ ਮੈਂਡ੍ਰੇਕ ਮੁਹਿੰਮ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੇ ਇੱਕ ਉੱਚ-ਕੁਸ਼ਲ ਅਤੇ ਬਹੁਤ ਤਜਰਬੇਕਾਰ ਸਮੂਹ ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਹੈ ਜੋ ਜਾਣਦੇ ਹਨ ਕਿ ਉਹ ਅਸਲ ਵਿੱਚ ਕੀ ਕਰ ਰਹੇ ਹਨ। ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਤੁਹਾਡੀ ਐਂਡਰੌਇਡ ਡਿਵਾਈਸ ਇੱਕ ਅਸਲੀ, ਪ੍ਰਤਿਸ਼ਠਾਵਾਨ ਐਂਟੀ-ਵਾਇਰਸ ਐਪਲੀਕੇਸ਼ਨ ਦੁਆਰਾ ਸੁਰੱਖਿਅਤ ਹੈ।

ਵਿਕਸਤ ਮੈਂਡ੍ਰੇਕ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਐਂਡਰਾਇਡ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ

ਗੂਗਲ ਪਲੇ ਸਟੋਰ 'ਤੇ ਪੰਜ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਅੰਦਰ ਬਹੁਤ ਹੀ ਆਧੁਨਿਕ ਐਂਡਰੌਇਡ ਸਪਾਈਵੇਅਰ , ਮੈਂਡ੍ਰੇਕ ਦੀ ਇੱਕ ਨਵੀਂ ਦੁਹਰਾਓ ਖੋਜੀ ਗਈ ਹੈ। ਇਹ ਸਪਾਈਵੇਅਰ ਦੋ ਸਾਲਾਂ ਤੱਕ ਅਣਪਛਾਤੇ ਰਹਿਣ ਵਿੱਚ ਕਾਮਯਾਬ ਰਿਹਾ ।

ਸਟੀਲਥੀ ਘੁਸਪੈਠ: ਐਪਸ ਅਤੇ ਉਹਨਾਂ ਦੀ ਪਹੁੰਚ

ਗੂਗਲ ਪਲੇ ਸਟੋਰ ਤੋਂ ਹਟਾਏ ਜਾਣ ਤੋਂ ਪਹਿਲਾਂ ਪੰਜ ਸੰਕਰਮਿਤ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ 32,000 ਤੋਂ ਵੱਧ ਵਾਰ ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹਨਾਂ ਵਿੱਚੋਂ ਜ਼ਿਆਦਾਤਰ ਡਾਉਨਲੋਡਸ ਕੈਨੇਡਾ, ਜਰਮਨੀ, ਇਟਲੀ, ਮੈਕਸੀਕੋ, ਸਪੇਨ, ਪੇਰੂ ਅਤੇ ਯੂਕੇ ਸਮੇਤ ਦੇਸ਼ਾਂ ਤੋਂ ਉਤਪੰਨ ਹੋਏ ਹਨ

ਉੱਨਤ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ

ਮੈਂਡ੍ਰੇਕ ਦੇ ਨਵੇਂ ਨਮੂਨਿਆਂ ਵਿੱਚ ਗੁੰਝਲਦਾਰ ਅਤੇ ਚੋਰੀ ਤਕਨੀਕਾਂ ਦੀਆਂ ਉੱਨਤ ਪਰਤਾਂ ਹਨ:

• • ਖਤਰਨਾਕ ਕਾਰਜਕੁਸ਼ਲਤਾ ਨੂੰ ਅਸਪਸ਼ਟ ਮੂਲ ਲਾਇਬ੍ਰੇਰੀਆਂ ਵਿੱਚ ਲਿਜਾਣਾ

• ਸੁਰੱਖਿਅਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰਾਂ ਲਈ ਸਰਟੀਫਿਕੇਟ ਪਿਨਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਨਾ
• ਇਹ ਪਤਾ ਲਗਾਉਣ ਲਈ ਕਿ ਕੀ ਮਾਲਵੇਅਰ ਕਿਸੇ ਰੂਟਡ ਡਿਵਾਈਸ 'ਤੇ ਚੱਲ ਰਿਹਾ ਸੀ ਜਾਂ ਇੱਕ ਇਮੂਲੇਟਿਡ ਵਾਤਾਵਰਣ ਵਿੱਚ ਕਈ ਟੈਸਟ ਕਰਨਾ

ਵਿਰੋਧੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਤਕਨੀਕ

Mandrake ਦੇ ਅੱਪਡੇਟ ਵੇਰੀਐਂਟਸ ਨੇ ਆਪਣੀ ਮੁੱਖ ਕਾਰਜਕੁਸ਼ਲਤਾ ਨੂੰ ਛੁਪਾਉਣ ਲਈ OLLVM (Obfuscation LLVM) ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਉਹਨਾਂ ਨੇ ਮਾਲਵੇਅਰ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਦੁਆਰਾ ਖੋਜ ਨੂੰ ਰੋਕਣ ਲਈ ਵੱਖ-ਵੱਖ ਸੈਂਡਬੌਕਸ ਚੋਰੀ ਅਤੇ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਤਕਨੀਕਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕੀਤਾ।

ਸੰਕਰਮਿਤ ਐਪਲੀਕੇਸ਼ਨਾਂ

ਮੈਂਡ੍ਰੇਕ ਸਪਾਈਵੇਅਰ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਪਾਈਆਂ ਗਈਆਂ ਪੰਜ ਐਪਲੀਕੇਸ਼ਨਾਂ ਹਨ:

AirFS (com.airft.ftrnsfr)

ਅੰਬਰ (com. shrp . sght )

ਐਸਟ੍ਰੋ ਐਕਸਪਲੋਰਰ (com.astro.dscvr)

ਬ੍ਰੇਨ ਮੈਟ੍ਰਿਕਸ (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਪ੍ਰਕਿਰਿਆ

ਪੜਾਅ ਇੱਕ: ਡਰਾਪਰ

ਸ਼ੁਰੂਆਤੀ ਲਾਗ ਇੱਕ ਡਰਾਪਰ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜੋ ਇੱਕ ਲੋਡਰ ਲਾਂਚ ਕਰਦਾ ਹੈ। ਇਹ ਲੋਡਰ ਮਾਲਵੇਅਰ ਦੇ ਮੁੱਖ ਹਿੱਸੇ ਨੂੰ C2 ਸਰਵਰ ਤੋਂ ਡਾਊਨਲੋਡ ਅਤੇ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਤੋਂ ਬਾਅਦ ਚਲਾਉਂਦਾ ਹੈ ।

ਪੜਾਅ ਦੋ: ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ

ਦੂਜੇ-ਪੜਾਅ ਦਾ ਪੇਲੋਡ ਡਿਵਾਈਸ ਬਾਰੇ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• • ਕਨੈਕਟੀਵਿਟੀ ਸਥਿਤੀ

• • ਇੰਸਟਾਲ ਕੀਤੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ

• • ਬੈਟਰੀ ਪ੍ਰਤੀਸ਼ਤਤਾ

• • ਬਾਹਰੀ IP ਪਤਾ

• • ਮੌਜੂਦਾ Google Play ਸੰਸਕਰਣ

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਕੋਰ ਮੋਡੀਊਲ ਨੂੰ ਪੂੰਝ ਸਕਦਾ ਹੈ ਅਤੇ ਓਵਰਲੇਅ ਬਣਾਉਣ ਅਤੇ ਬੈਕਗ੍ਰਾਊਂਡ ਵਿੱਚ ਚਲਾਉਣ ਲਈ ਅਨੁਮਤੀਆਂ ਦੀ ਬੇਨਤੀ ਕਰ ਸਕਦਾ ਹੈ।

ਪੜਾਅ ਤਿੰਨ: ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਅਤੇ ਹੋਰ

ਤੀਜਾ ਪੜਾਅ ਵਾਧੂ ਕਮਾਂਡਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ:
ਇੱਕ WebView ਵਿੱਚ ਇੱਕ ਖਾਸ URL ਲੋਡ ਕਰਨਾ

ਇੱਕ ਰਿਮੋਟ ਸਕ੍ਰੀਨ-ਸ਼ੇਅਰਿੰਗ ਸੈਸ਼ਨ ਸ਼ੁਰੂ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ

ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਕਰਨ ਅਤੇ ਹੋਰ ਮਾਲਵੇਅਰ ਸੁੱਟਣ ਲਈ ਡਿਵਾਈਸ ਸਕ੍ਰੀਨ ਨੂੰ ਰਿਕਾਰਡ ਕਰਨਾ

ਐਂਡਰਾਇਡ 13 ਦੀਆਂ 'ਪ੍ਰਤੀਬੰਧਿਤ ਸੈਟਿੰਗਾਂ' ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ

ਮੈਂਡ੍ਰੇਕ ਐਂਡਰਾਇਡ 13 ਦੀ 'ਪ੍ਰਤੀਬੰਧਿਤ ਸੈਟਿੰਗਾਂ' ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਇੱਕ 'ਸੈਸ਼ਨ-ਅਧਾਰਿਤ' ਪੈਕੇਜ ਇੰਸਟੌਲਰ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਸਾਈਡਲੋਡ ਕੀਤੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਅਸੁਰੱਖਿਅਤ ਅਨੁਮਤੀਆਂ ਦੀ ਸਿੱਧੀ ਬੇਨਤੀ ਕਰਨ ਤੋਂ ਰੋਕਦਾ ਹੈ ।

ਸਿੱਟਾ: ਇੱਕ ਸਦਾ-ਵਿਕਸਤ ਖ਼ਤਰਾ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਮੈਂਡ੍ਰੇਕ ਨੂੰ ਇੱਕ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਵਿਕਸਤ ਹੋ ਰਹੇ ਖਤਰੇ ਦੇ ਰੂਪ ਵਿੱਚ ਵਰਣਨ ਕੀਤਾ ਹੈ, ਰੱਖਿਆ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਇਸ ਦੀਆਂ ਤਕਨੀਕਾਂ ਨੂੰ ਲਗਾਤਾਰ ਸੁਧਾਰਦੇ ਹੋਏ। ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੇ ਜ਼ਬਰਦਸਤ ਹੁਨਰ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਅਤੇ ਅਧਿਕਾਰਤ ਐਪ ਬਾਜ਼ਾਰਾਂ 'ਤੇ ਪ੍ਰਕਾਸ਼ਿਤ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਸਖ਼ਤ ਨਿਯੰਤਰਣਾਂ ਦੀ ਲੋੜ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ ।