Mandrake
Cercetătorii Infosec au descoperit o campanie de ultimă generație care vizează utilizatorii Android din Australia cu un instrument numit Mandrake . Desigur, escrocii cibernetici din spatele instrumentului de hacking Mandrake pot alege să-și schimbe focalizarea și să vizeze utilizatorii dintr-o altă locație în campaniile viitoare. Malware-ul Mandrake a apărut pentru prima dată în 2016. De când analiștii malware au descoperit amenințarea Mandrake, creatorii săi au introdus actualizări regulate. Creatorii amenințării Mandrake au adăugat noi funcții, le-au optimizat pe cele vechi, au eliminat modulele inutile și, în general , au îmbunătățit instrumentul de hacking pentru a se asigura că rămâne foarte puternic.
Cuprins
Mandrake colectează date sensibile de pe dispozitivele infectate
Malware-ul Mandrake poate fi distribuit cu ușurință la mii și mii de utilizatori . Cu toate acestea, operatorii săi nu adoptă abordarea spam-ului în masă. În schimb, par să-și aleagă ținta cu atenție. Există doar aproximativ 500 de exemplare active în prezent. Amenințarea Mandrake poate fi clasificată drept spyware și s-ar părea că autorii ei o implementează doar către ținte care au fost monitorizate de ceva timp.
Dacă programul spyware Mandrake compromite dispozitivul dvs. Android, acesta va putea îndeplini o mare varietate de sarcini. Deoarece amenințarea Mandrake este listată ca spyware, scopul său este de a colecta informații importante de la gazdele vizate. Este probabil ca programul spyware Mandrake să permită operatorilor săi să pună mâna pe utilizatori:
Având în vedere gama largă de informații pe care le colectează programul spyware Mandrake, este posibil ca operatorii săi să-l folosească atât pentru operațiuni de șantaj, cât și pentru campanii de fraudă financiară.
Deoarece fiecare utilizator vizat pare să fie abordat de atacatori în mod diferit, este probabil ca victimele să fie selectate cu mare atenție. Este probabil ca campania Mandrake să fie desfășurată de un grup de infractori cibernetici cu înaltă calificare și foarte multă experiență, care știu exact ce fac. Asigurați-vă că dispozitivul dvs. Android este protejat de o aplicație antivirus autentică și de renume.
Evolved Mandrake Mobile Malware vizează utilizatorii Android
O nouă iterație a programului spion Android extrem de sofisticat , Mandrake, a fost descoperită ascunsă în cinci aplicații din Magazinul Google Play. Acest program spion a reușit să rămână nedetectat timp de doi ani.
Infiltrare ascunsă: aplicațiile și acoperirea lor
Cele cinci aplicații infectate au fost descărcate de peste 32.000 de ori înainte de a fi eliminate din Google Play Store. Majoritatea acestor descărcări au provenit din țări precum Canada, Germania, Italia, Mexic, Spania, Peru și Regatul Unit
Tactici avansate de evaziune
Noile mostre de Mandrake au prezentat straturi avansate de tehnici de ofuscare și evaziune:
- Mutarea funcționalităților rău intenționate în biblioteci native ascunse
- Utilizarea fixarii certificatelor pentru comunicații sigure de comandă și control (C2).
Tehnici anti-analiza
Variantele actualizate ale lui Mandrake au folosit OLLVM (Obfuscation LLVM) pentru a-și ascunde funcționalitatea principală . În plus, au încorporat diverse tehnici de evaziune și anti-analiza sandbox pentru a preveni detectarea de către analiștii malware.
Aplicațiile infectate
Cele cinci aplicații care conțin programe spyware Mandrake sunt:
AirFS (com.airft.ftrnsfr)
Chihlimbar (com. shrp . sght )
Astro Explorer (com.astro.dscvr)
Brain Matrix (com. brnmth . mtrx )
CryptoPulsing (com. cryptopulsing .browser)
Proces de infecție în mai multe etape
Etapa întâi: Picuratorul
Infecția inițială începe cu un picurător care lansează un încărcător. Acest încărcător execută componenta de bază a malware-ului după descărcarea și decriptarea acestuia de pe un server C2 .
Etapa a doua: Colectarea informațiilor
Sarcina utilă din a doua etapă colectează informații despre dispozitiv, inclusiv:
- Starea conectivitate
- Aplicații instalate
- Procentajul bateriei
- Adresă IP externă
- Versiunea actuală Google Play
În plus, poate șterge modulul de bază și poate solicita permisiuni pentru a desena suprapuneri și a rula în fundal.
Etapa a treia: furtul de acreditări și altele
A treia etapă acceptă comenzi suplimentare, cum ar fi:
Încărcarea unei anumite adrese URL într-un WebView
Inițierea unei sesiuni de partajare a ecranului de la distanță
Înregistrarea ecranului dispozitivului pentru a fura acreditările și pentru a elimina mai multe programe malware
Ocolind „Setări restricționate” Android 13
Mandrake folosește un program de instalare a pachetelor „bazat pe sesiune” pentru a ocoli caracteristica „Setări restricționate” a Android 13, care interzice aplicațiilor cu încărcare laterală să solicite direct permisiuni nesigure.
Concluzie: o amenințare în continuă evoluție
Cercetătorii descriu Mandrake ca pe o amenințare în evoluție dinamică, perfecționându-și în mod continuu tehnicile pentru a ocoli mecanismele de apărare și a evita detectarea. Acest lucru arată abilitățile formidabile ale actorilor amenințărilor și evidențiază necesitatea unor controale mai stricte pentru aplicații înainte ca acestea să fie publicate pe piețele oficiale de aplicații.
