Mandrake

Badacze Infosec odkryli zaawansowaną kampanię skierowaną do użytkowników Androida w Australii , za pomocą narzędzia o nazwie Mandrake . Oczywiście cyberprzestępcy stojący za narzędziem hakerskim Mandrake mogą zmienić kierunek i w przyszłych kampaniach kierować reklamy do użytkowników z innej lokalizacji. Szkodnik Mandrake pojawił się po raz pierwszy w 2016 roku. Odkąd analitycy szkodliwego oprogramowania zauważyli zagrożenie Mandrake, jego twórcy regularnie wprowadzają aktualizacje. Twórcy zagrożenia Mandrake dodali nowe funkcje, zoptymalizowali stare, usunęli niepotrzebne moduły i ogólnie ulepszyli narzędzie hakerskie, aby zapewnić jego skuteczność.

Mandrake zbiera wrażliwe dane z zainfekowanych urządzeń

Złośliwe oprogramowanie Mandrake może być łatwo dystrybuowane wśród tysięcy użytkowników . Jednak jego operatorzy nie stosują podejścia masowego spamu. Zamiast tego wydaje się, że starannie wybierają swoje cele. Obecnie aktywnych jest tylko około 500 kopii. Zagrożenie Mandrake można sklasyfikować jako oprogramowanie szpiegowskie i wydaje się, że jego autorzy wdrażają je jedynie w celach, które były monitorowane przez jakiś czas.

Jeśli oprogramowanie szpiegujące Mandrake włamie się do Twojego urządzenia z Androidem, będzie mogło wykonywać różnorodne zadania. Ponieważ zagrożenie Mandrake jest wymienione jako oprogramowanie szpiegujące, jego celem jest zebranie ważnych informacji z docelowych hostów. Jest prawdopodobne, że oprogramowanie szpiegujące Mandrake pozwala swoim operatorom dostać się w ręce użytkowników:

• Uwierzytelnienie loginu.

• Lista kontaktów.

• Obrazy i filmy przechowywane w ich galerii.

• Informacje o koncie bankowym.

• Szczegóły płatności.

• Rozmowy osobiste

Mając na uwadze szeroki wachlarz informacji gromadzonych przez oprogramowanie szpiegujące Mandrake, prawdopodobne jest, że jego operatorzy mogą go wykorzystywać zarówno do operacji szantażu, jak i kampanii oszustw finansowych.

Ponieważ wydaje się, że atakujący traktują inaczej każdego docelowego użytkownika, prawdopodobne jest, że ofiary są wybierane bardzo ostrożnie. Jest prawdopodobne, że kampanię Mandrake prowadzi wysoko wykwalifikowana i bardzo doświadczona grupa cyberprzestępców, którzy dokładnie wiedzą, co robią. Upewnij się, że Twoje urządzenie z Androidem jest chronione przez oryginalną, renomowaną aplikację antywirusową.

Evolved Mandrake Mobile Malware atakuje użytkowników Androida

W pięciu aplikacjach w sklepie Google Play wykryto nową wersję wysoce wyrafinowanego oprogramowania szpiegującego dla systemu Android , Mandrake . To oprogramowanie szpiegujące udało się pozostać niewykrytym przez dwa lata.

Ukryta infiltracja: aplikacje i ich zasięg

Pięć zainfekowanych aplikacji zostało pobranych ponad 32 000 razy, zanim zostały usunięte ze sklepu Google Play. Większość tych pobrań pochodziła z takich krajów, jak Kanada, Niemcy, Włochy, Meksyk, Hiszpania, Peru i Wielka Brytania

Zaawansowane taktyki uników

Nowe próbki Mandragory zawierały zaawansowane warstwy technik zaciemniania i unikania:

• • Przenoszenie złośliwej funkcjonalności do zaciemnionych bibliotek natywnych

• Używanie przypinania certyfikatów do bezpiecznej komunikacji typu „dowodzenie i kontrola” (C2).
• Przeprowadzenie licznych testów w celu wykrycia, czy złośliwe oprogramowanie działa na urządzeniu zrootowanym, czy w emulowanym środowisku

Techniki antyanalizy

Zaktualizowane warianty Mandrake'a wykorzystywały OLLVM (Zaciemnianie LLVM), aby ukryć swoją główną funkcjonalność. Dodatkowo zastosowano w nich różne techniki unikania piaskownicy i techniki antyanalizy, aby zapobiec wykryciu przez analityków złośliwego oprogramowania.

Zainfekowane aplikacje

Pięć aplikacji, w których znaleziono oprogramowanie szpiegujące Mandrake, to:

AirFS (com.airft.ftrnsfr)

Bursztyn (com. shrp . sght )

Eksplorator Astro (com.astro.dscvr)

Brain Matrix (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

Wieloetapowy proces infekcji

Etap pierwszy: Zakraplacz

Początkowa infekcja rozpoczyna się od droppera uruchamiającego moduł ładujący. Ten moduł ładujący uruchamia główny komponent złośliwego oprogramowania po pobraniu i odszyfrowaniu go z serwera C2 .

Etap drugi: zbieranie informacji

Ładunek drugiego etapu zbiera informacje o urządzeniu, w tym:

• • Stan połączenia

• • Zainstalowane aplikacje

• • Procent baterii

• • Zewnętrzny adres IP

• • Aktualna wersja Google Play

Dodatkowo może wyczyścić moduł podstawowy i poprosić o uprawnienia do rysowania nakładek i działania w tle.

Etap trzeci: Kradzież danych uwierzytelniających i nie tylko

Trzeci etap obsługuje dodatkowe polecenia, takie jak:
Ładowanie określonego adresu URL w WebView

Inicjowanie sesji zdalnego udostępniania ekranu

Nagrywanie ekranu urządzenia w celu kradzieży danych uwierzytelniających i upuszczenia większej liczby złośliwego oprogramowania

Omijanie „ograniczonych ustawień” Androida 13

Mandrake wykorzystuje instalator pakietów „oparty na sesji”, aby ominąć funkcję „Ograniczone ustawienia” systemu Android 13, która uniemożliwia aplikacjom ładowanym z boku bezpośrednie żądanie niebezpiecznych uprawnień.

Wniosek: stale ewoluujące zagrożenie

Badacze opisują Mandragrę jako dynamicznie ewoluujące zagrożenie, stale udoskonalające swoje techniki, aby ominąć mechanizmy obronne i uniknąć wykrycia. Pokazuje to ogromne umiejętności ugrupowań zagrażających i podkreśla konieczność bardziej rygorystycznej kontroli aplikacji przed ich opublikowaniem na oficjalnych platformach handlowych z aplikacjami.