Multi-License Discount Quote
Databáza hrozieb Mobile Malware Mandrake

Mandrake

Do roku GoldSparrow v roku Mobile Malware, Spyware
Preložiť do:
Slovenčina

Výskumníci spoločnosti Infosec odhalili špičkovú kampaň zameranú na používateľov systému Android v Austrálii s nástrojom s názvom Mandrake . Počítačoví podvodníci stojaci za hackerským nástrojom Mandrake sa samozrejme môžu rozhodnúť zmeniť svoje zameranie a v budúcich kampaniach zacieliť na používateľov z iného miesta. Malvér Mandrake sa prvýkrát objavil v roku 2016. Odkedy si analytici malvéru všimli hrozbu Mandrake, jeho tvorcovia zavádzajú pravidelné aktualizácie. Tvorcovia hrozby Mandrake pridali nové funkcie, optimalizovali staré, odstránili nepotrebné moduly a celkovo vylepšili hackerský nástroj, aby zaistili, že zostane veľmi účinný.

Mandrake zhromažďuje citlivé údaje z infikovaných zariadení

Malvér Mandrake môže byť ľahko distribuovaný tisícom a tisícom používateľov . Jeho prevádzkovatelia však nepresadzujú prístup hromadného spamu. Namiesto toho sa zdá, že si svoje ciele vyberajú opatrne. V súčasnosti je aktívnych len asi 500 kópií. Hrozbu Mandrake možno zaradiť medzi spyware a zdalo by sa, že ju jej autori nasadzujú len na ciele, ktoré sú chvíľu monitorované .

Ak spyware Mandrake ohrozí vaše zariadenie Android, bude schopné vykonávať veľké množstvo úloh. Keďže hrozba Mandrake je uvedená ako spyware, jej cieľom je zbierať dôležité informácie od cieľových hostiteľov. Je pravdepodobné, že spyware Mandrake umožňuje svojim operátorom dostať sa do rúk používateľov:

  • Prihlasovacie údaje.

 

  • Zoznam kontaktov.

 

  • Obrázky a videá uložené v ich galérii.

 

  • Informácie o bankovom účte.

 

  • Platobné údaje.

 

  • Osobné rozhovory

Vzhľadom na široké spektrum informácií, ktoré spyware Mandrake zhromažďuje, je pravdepodobné, že jeho prevádzkovatelia ho môžu používať na operácie vydierania a kampane na finančné podvody.

Keďže sa zdá, že ku každému cieľovému používateľovi útočníci pristupujú inak, je pravdepodobné, že obete sú vyberané veľmi starostlivo. Je pravdepodobné, že kampaň Mandrake vedie vysoko kvalifikovaná a veľmi skúsená skupina kyberzločincov, ktorí presne vedia, čo robia. Uistite sa, že vaše zariadenie so systémom Android je chránené originálnou antivírusovou aplikáciou s dobrou povesťou.

Vyvinutý mobilný malvér Mandrake sa zameriava na používateľov systému Android

Nová iterácia vysoko sofistikovaného spywaru pre Android , Mandrake, bola objavená v piatich aplikáciách v obchode Google Play. Tento spyware dokázal zostať neodhalený dva roky.

Skrytá infiltrácia: Aplikácie a ich dosah

Päť infikovaných aplikácií bolo stiahnutých viac ako 32 000-krát, kým boli odstránené z obchodu Google Play. Väčšina týchto stiahnutí pochádza z krajín vrátane Kanady, Nemecka, Talianska, Mexika, Španielska, Peru a Spojeného kráľovstva

Pokročilá úniková taktika

Nové vzorky Mandrake obsahovali pokročilé vrstvy zahmlievania a únikových techník:

 

    • Presun škodlivých funkcií do zatemnených natívnych knižníc

 

  • Používanie pripínania certifikátov na zabezpečenú komunikáciu príkazov a ovládania (C2).
  • Vykonávanie mnohých testov na zistenie, či malvér bežal na zakorenenom zariadení alebo v emulovanom prostredí

 

Antianalytické techniky

Aktualizované varianty Mandrake využívali OLLVM (Obfuscation LLVM) na zakrytie svojej hlavnej funkcie. Okrem toho začlenili rôzne techniky vyhýbania sa sandboxu a antianalýzy, aby zabránili odhaleniu zo strany analytikov škodlivého softvéru.

Infikované aplikácie

Zistilo sa, že päť aplikácií obsahuje spyware Mandrake:

AirFS (com.airft.ftrnsfr)

Amber (com. shrp . sght )

Astro Explorer (com.astro.dscvr)

Brain Matrix (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

Viacstupňový infekčný proces

Prvá fáza: Dropper

Počiatočná infekcia začína kvapkadlom, ktoré spustí nakladač. Tento zavádzač spustí základnú súčasť malvéru po jeho stiahnutí a dešifrovaní zo servera C2 .

Druhá fáza: Zber informácií

Užitočné zaťaženie druhej fázy zhromažďuje informácie o zariadení vrátane:

 

    • Stav pripojenia

 

    • Nainštalované aplikácie

 

    • Percento batérie

 

    • Externá IP adresa

 

    • Aktuálna verzia Google Play

 

Okrem toho môže vymazať základný modul a požiadať o povolenia na kreslenie prekrytí a spustenie na pozadí.

Tretia etapa: Krádež poverení a ďalšie

Tretia fáza podporuje ďalšie príkazy, ako napríklad:
Načítanie konkrétnej adresy URL v zobrazení WebView

Spustenie relácie vzdialeného zdieľania obrazovky

Nahrávanie obrazovky zariadenia s cieľom ukradnúť poverenia a vypustiť ďalší malvér

Obídenie „obmedzených nastavení“ systému Android 13

Mandrake využíva inštalačný program balíkov „založený na reláciách“, aby obišiel funkciu „Obmedzené nastavenia“ systému Android 13, ktorá zakazuje stiahnutým aplikáciám priamo žiadať nebezpečné povolenia.

Záver: Neustále sa vyvíjajúca hrozba

Výskumníci opisujú Mandrake ako dynamicky sa vyvíjajúcu hrozbu, pričom neustále zdokonaľujú svoje techniky, aby obchádzali obranné mechanizmy a vyhýbali sa detekcii. To ukazuje impozantné zručnosti aktérov hrozieb a zdôrazňuje potrebu prísnejších kontrol aplikácií pred ich zverejnením na oficiálnych trhoch s aplikáciami.

Trendy

Najviac videné

Vyskakovacie okná „Ak máte 18 rokov, klepnite na...

Fake Warning Messages
29,265
Vyskakovacie okná „Ak máte 18 rokov“ sú typom kontextových reklám, ktoré sa zobrazujú na obrazovke používateľa pri prehliadaní internetu. Tieto kontextové okná môžu byť pre používateľov dosť alarmujúce, pretože ich vyzývajú, aby klikli na tlačidlo „povoliť“, aby mohli pokračovať v používaní webovej stránky, na ktorej sa práve nachádzajú. Tieto kontextové okná sú spojené s takými nežiaducimi...
Načítava...