Mandrake
Raziskovalci podjetja Infosec so z orodjem , imenovanim Mandrake, odkrili vrhunsko kampanjo, ki cilja na uporabnike Androida v Avstraliji . Seveda se lahko kibernetski prevaranti, ki stojijo za hekerskim orodjem Mandrake, v prihodnjih kampanjah odločijo spremeniti svoj fokus in ciljati na uporabnike z druge lokacije. Zlonamerna programska oprema Mandrake se je prvič pojavila leta 2016. Odkar so analitiki zlonamerne programske opreme opazili grožnjo Mandrake, njeni ustvarjalci uvajajo redne posodobitve. Ustvarjalci grožnje Mandrake so dodali nove funkcije, optimizirali stare, odstranili nepotrebne module in na splošno izboljšali hekersko orodje, da zagotovijo, da ostaja zelo zmogljivo.
Kazalo
Mandrake zbira občutljive podatke iz okuženih naprav
Zlonamerno programsko opremo Mandrake je mogoče zlahka razdeliti na tisoče in tisoče uporabnikov . Vendar njeni operaterji ne uporabljajo pristopa množične neželene pošte. Namesto tega se zdi, da skrbno izbirajo svoje cilje. Trenutno je aktivnih le okoli 500 izvodov. Grožnjo Mandrake lahko označimo kot vohunsko programsko opremo in zdi se, da jo njeni avtorji nameščajo samo na tarče, ki so bile nekaj časa nadzorovane .
Če vohunska programska oprema Mandrake ogrozi vašo napravo Android, bo lahko izvajala veliko različnih nalog. Ker je grožnja Mandrake navedena kot vohunska programska oprema, je njen cilj zbiranje pomembnih informacij od ciljnih gostiteljev. Verjetno vohunska programska oprema Mandrake svojim operaterjem omogoča, da se dokopajo do uporabnikov:
Glede na široko paleto informacij, ki jih zbira vohunska programska oprema Mandrake, je verjetno, da jo njeni operaterji uporabljajo tako za izsiljevalske operacije kot za kampanje finančnih goljufij.
Ker se zdi, da do vsakega ciljnega uporabnika napadalci pristopijo drugače, je verjetno, da so žrtve izbrane zelo skrbno. Kampanjo Mandrake verjetno izvaja visoko usposobljena in zelo izkušena skupina kibernetskih kriminalcev, ki točno vedo, kaj počnejo. Prepričajte se, da je vaša naprava Android zaščitena s pristno, ugledno protivirusno aplikacijo.
Razvita mobilna zlonamerna programska oprema Mandrake cilja na uporabnike Android
Nova različica zelo sofisticirane vohunske programske opreme za Android , Mandrake, je bila odkrita v petih aplikacijah v trgovini Google Play. Ta vohunska programska oprema je dve leti ostala neodkrita.
Prikrita infiltracija: aplikacije in njihov doseg
Pet okuženih aplikacij je bilo prenesenih več kot 32.000-krat, preden so jih odstranili iz trgovine Google Play. Večina teh prenosov izvira iz držav, vključno s Kanado, Nemčijo, Italijo, Mehiko, Španijo, Perujem in Združenim kraljestvom.
Napredne taktike izogibanja
Novi vzorci Mandrake so vsebovali napredne plasti zakrivanja in tehnik izogibanja:
- Premikanje zlonamerne funkcionalnosti v zamegljene izvorne knjižnice
- Uporaba pripenjanja potrdil za varne komunikacije ukazov in nadzora (C2).
Tehnike proti analizi
Posodobljene različice Mandrake so uporabile OLLVM (Obfuscation LLVM), da bi prikrile svojo glavno funkcionalnost. Poleg tega so vključili različne tehnike izogibanja peskovniku in protianalize, da preprečijo odkrivanje analitikov zlonamerne programske opreme.
Okužene aplikacije
Pet aplikacij, ki vsebujejo vohunsko programsko opremo Mandrake, je:
AirFS (com.airft.ftrnsfr)
Jantar (com. shrp . sght )
Astro Explorer (com.astro.dscvr)
Možganska matrica (com. brnmth . mtrx )
CryptoPulsing (com. cryptopulsing .browser)
Večstopenjski proces okužbe
Prva faza: Kapalka
Začetna okužba se začne s kapalko, ki zažene nalagalnik. Ta nalagalnik izvede glavno komponento zlonamerne programske opreme, potem ko jo prenese in dešifrira s strežnika C2 .
Druga stopnja: Zbiranje informacij
Tovor druge stopnje zbira informacije o napravi, vključno z:
- Stanje povezljivosti
- Nameščene aplikacije
- Odstotek baterije
- Zunanji naslov IP
- Trenutna različica Google Play
Poleg tega lahko izbriše osrednji modul in zahteva dovoljenja za risanje prekrivk in delovanje v ozadju.
Tretja stopnja: Kraja poverilnice in več
Tretja stopnja podpira dodatne ukaze, kot so:
Nalaganje določenega URL-ja v WebView
Začetek oddaljene seje skupne rabe zaslona
Snemanje zaslona naprave za krajo poverilnic in odpuščanje več zlonamerne programske opreme
Obhod 'omejenih nastavitev' Androida 13
Mandrake uporablja namestitveni program paketov, ki temelji na seji, da zaobide funkcijo »Omejene nastavitve« Androida 13, ki prepoveduje stransko naloženim aplikacijam, da neposredno zahtevajo nevarna dovoljenja.
Zaključek: Nenehno razvijajoča se grožnja
Raziskovalci opisujejo Mandrake kot dinamično razvijajočo se grožnjo, ki nenehno izpopolnjuje svoje tehnike, da bi zaobšla obrambne mehanizme in se izognila odkrivanju. To prikazuje neverjetne sposobnosti akterjev groženj in poudarja potrebo po strožjem nadzoru aplikacij, preden so objavljene na uradnih tržnicah aplikacij.
