Mandrake
Исследователи Infosec обнаружили высококлассную кампанию, нацеленную на пользователей Android, находящихся в Австралии, с помощью инструмента под названием Mandrake . Конечно, киберпреступники, стоящие за хакерским инструментом Mandrake, могут изменить свою направленность и нацелиться на пользователей из другого места в будущих кампаниях. Вредоносная программа Mandrake впервые появилась в 2016 году. С тех пор, как аналитики вредоносного ПО заметили угрозу Mandrake, ее создатели регулярно выпускают обновления. Создатели угрозы Mandrake добавили новые функции, оптимизировали старые, удалили ненужные модули и в целом улучшили инструмент взлома, чтобы обеспечить его высокую эффективность.
Оглавление
Mandrake собирает конфиденциальные данные с зараженных устройств
Вредоносное ПО Mandrake может легко распространяться среди тысяч и тысяч пользователей . Однако его операторы не применяют подход к массовой рассылке спама. Вместо этого они, похоже, тщательно выбирают свои цели. На данный момент активно всего около 500 копий. Угрозу Mandrake можно классифицировать как шпионское ПО, и , похоже, ее авторы развертывают ее только на объектах, за которыми уже давно наблюдают .
Если шпионское ПО Mandrake скомпрометирует ваше устройство Android, оно сможет выполнять самые разнообразные задачи. Поскольку угроза Mandrake внесена в список шпионских программ, ее целью является сбор важной информации с целевых хостов. Вполне вероятно, что шпионское ПО Mandrake позволяет своим операторам заполучить пользователей:
- Учетные данные для входа.
- Список контактов.
- Изображения и видео хранятся в их галерее.
- Информация о банковском счете.
- Детали оплаты.
- Личные беседы
Учитывая широкий спектр информации, которую собирает шпионское ПО Mandrake, вполне вероятно, что его операторы могут использовать его как для операций шантажа, так и для кампаний по финансовому мошенничеству.
Поскольку злоумышленники по-разному относятся к каждому целевому пользователю, вполне вероятно, что жертвы выбираются очень тщательно. Вполне вероятно, что кампанию Mandrake проводит высококвалифицированная и очень опытная группа киберпреступников, которые точно знают, что делают. Убедитесь, что ваше устройство Android защищено подлинным и надежным антивирусным приложением.
Усовершенствованное мобильное вредоносное ПО Mandrake нацелено на пользователей Android
Новая версия очень сложной шпионской программы для Android Mandrake была обнаружена в пяти приложениях в Google Play Store. Этой шпионской программе удавалось оставаться незамеченной в течение двух лет.
Скрытое проникновение: приложения и их охват
Пять зараженных приложений были загружены более 32 000 раз, прежде чем были удалены из Google Play Store. Большинство этих загрузок поступило из таких стран, как Канада, Германия, Италия, Мексика, Испания, Перу и Великобритания.
Продвинутая тактика уклонения
В новых образцах Mandrake использовались продвинутые уровни методов запутывания и уклонения:
-
- Перенос вредоносного функционала в запутанные нативные библиотеки
- Использование закрепления сертификата для безопасной связи командования и управления (C2)
- Выполнение многочисленных тестов для определения того, запущено ли вредоносное ПО на корневом устройстве или в эмулируемой среде.
Методы антианализа
Обновленные варианты Mandrake использовали OLLVM (Obfuscation LLVM) для сокрытия своей основной функциональности. Кроме того, они включили различные методы обхода «песочницы» и антианализа, чтобы предотвратить обнаружение аналитиками вредоносного ПО.
Зараженные приложения
Пять приложений, в которых обнаружено шпионское ПО Mandrake:
AirFS (com.airft.ftrnsfr)
Янтарь (com. shrp . sght )
Астропроводник (com.astro.dscvr)
Brain Matrix (com. brnmth . mtrx )
CryptoPulsing (com. cryptopulsing.browser )
Многоэтапный процесс заражения
Этап первый: капельница
Первоначальное заражение начинается с дроппера, запускающего загрузчик. Этот загрузчик запускает основной компонент вредоносного ПО после его загрузки и расшифровки с сервера C2 .
Этап второй: сбор информации
Полезная нагрузка второго этапа собирает информацию об устройстве, в том числе:
-
- Статус подключения
-
- Установленные приложения
-
- Процент заряда батареи
-
- Внешний IP-адрес
-
- Текущая версия Google Play
Кроме того, он может стереть основной модуль и запросить разрешения на рисование наложений и работу в фоновом режиме.
Этап третий: кража учетных данных и многое другое
Третий этап поддерживает дополнительные команды, такие как:
Загрузка определенного URL-адреса в WebView
Инициирование сеанса удаленного совместного использования экрана
Запись экрана устройства для кражи учетных данных и размещения большего количества вредоносных программ.
Обход «ограниченных настроек» Android 13
Mandrake использует установщик пакетов «на основе сеанса» для обхода функции «Ограниченные настройки» Android 13, которая запрещает загруженным неопубликованным приложениям напрямую запрашивать небезопасные разрешения.
Вывод: постоянно развивающаяся угроза
Исследователи описывают Mandrake как динамично развивающуюся угрозу, постоянно совершенствующую свои методы обхода защитных механизмов и уклонения от обнаружения. Это демонстрирует огромные навыки злоумышленников и подчеркивает необходимость более строгого контроля над приложениями, прежде чем они будут опубликованы на официальных торговых площадках.
