Multi-License Discount Quote
Baza e të dhënave të kërcënimeve Mobile Malware Mandrake

Mandrake

Nga GoldSparrowMobile Malware, Spyware
Përkthe në:
Shqip

Studiuesit e Infosec kanë zbuluar një fushatë të nivelit të lartë që synon përdoruesit e Android të vendosur në Australi me një mjet të quajtur Mandrake . Sigurisht, mashtruesit kibernetikë që qëndrojnë pas mjetit të hakerimit Mandrake mund të zgjedhin të ndryshojnë fokusin e tyre dhe të synojnë përdoruesit nga një vendndodhje tjetër në fushatat e ardhshme. Malware Mandrake u shfaq për herë të parë në vitin 2016. Që kur analistët e malware zbuluan kërcënimin Mandrake, krijuesit e tij kanë prezantuar përditësime të rregullta. Krijuesit e kërcënimit Mandrake kanë shtuar veçori të reja, kanë optimizuar të vjetrat, kanë hequr modulet e panevojshme dhe në përgjithësi kanë përmirësuar mjetin e hakerimit për të siguruar që ai të mbetet shumë i fuqishëm.

Mandrake mbledh të dhëna të ndjeshme nga pajisjet e infektuara

Malware Mandrake mund të shpërndahet lehtësisht te mijëra e mijëra përdorues . Megjithatë, operatorët e tij nuk po përdorin qasjen e spamit në masë. Në vend të kësaj, ata duket se zgjedhin objektivat e tyre me kujdes. Aktualisht janë vetëm rreth 500 kopje aktive. Kërcënimi Mandrake mund të klasifikohet si spyware dhe duket se autorët e tij po e vendosin atë vetëm në objektiva që janë monitoruar për një kohë.

Nëse spyware Mandrake komprometon pajisjen tuaj Android, ai do të jetë në gjendje të kryejë një larmi të madhe detyrash. Meqenëse kërcënimi Mandrake renditet si spyware, qëllimi i tij është të mbledhë informacione të rëndësishme nga hostet e synuar. Ka të ngjarë që spyware Mandrake u lejon operatorëve të tij të kapin përdoruesit:

  • Kredencialet e hyrjes.
  • Lista e kontakteve.
  • Imazhet dhe videot ruhen në galerinë e tyre.
  • Informacioni i llogarisë bankare.
  • Detajet e pagesës.
  • Biseda personale

    • Duke pasur parasysh gamën e gjerë të informacionit që mbledh spyware Mandrake, ka të ngjarë që operatorët e tij mund ta përdorin atë si për operacione shantazhi ashtu edhe për fushata mashtrimi financiar.

    Meqenëse çdo përdorues i synuar duket se sulmuesit i qasen ndryshe, ka të ngjarë që viktimat të zgjidhen me shumë kujdes. Ka të ngjarë që fushata Mandrake të kryhet nga një grup kriminelësh kibernetikë shumë të aftë dhe me shumë përvojë, të cilët e dinë saktësisht se çfarë po bëjnë. Sigurohuni që pajisja juaj Android të mbrohet nga një aplikacion antivirus i mirëfilltë dhe me reputacion.

    Malware i Evoluar Mandrake Mobile synon përdoruesit e Android

    Një përsëritje e re e spyware-it shumë të sofistikuar Android , Mandrake, është zbuluar që fshihet brenda pesë aplikacioneve në Google Play Store. Ky spyware arriti të mbetet i pazbuluar për dy vjet.

    Infiltrimi i fshehtë: Aplikacionet dhe mundësia e tyre

    Pesë aplikacionet e infektuara u shkarkuan më shumë se 32,000 herë përpara se të hiqeshin nga Google Play Store. Shumica e këtyre shkarkimeve kanë origjinën nga vende duke përfshirë Kanadanë, Gjermaninë, Italinë, Meksikën, Spanjën, Perunë dhe MB.

    Taktika të avancuara të evazionit

    Mostrat e reja të Mandrake shfaqën shtresa të avancuara të teknikave të turbullimit dhe evazionit:

    • Zhvendosja e funksioneve me qëllim të keq në bibliotekat vendase të turbullta
    • Përdorimi i fiksimit të certifikatës për komunikime të sigurta të komandës dhe kontrollit (C2).
  • Kryerja e testeve të shumta për të zbuluar nëse malware po funksiononte në një pajisje me rrënjë ose në një mjedis të emuluar

    • Teknikat kundër analizës

    Variantet e përditësuara të Mandrake përdorën OLLVM (Obfuscation LLVM) për të fshehur funksionalitetin e tyre kryesor . Për më tepër, ata inkorporuan teknika të ndryshme evazioni në sandbox dhe anti-analizë për të parandaluar zbulimin nga analistët e malware.

    Aplikacionet e infektuara

    Pesë aplikacionet e gjetura se përmbajnë spyware Mandrake janë:

    AirFS (com.airft.ftrnsfr)

    Qelibar (com. shrp . sght )

    Astro Explorer (com.astro.dscvr)

    Matrica e trurit (com. brnmth . mtrx )

    CryptoPulsing (com. cryptopulsing .shfletuesi)

    Procesi i infektimit me shumë faza

    Faza e parë: Pikatori

    Infeksioni fillestar fillon me një pikatore që lëshon një ngarkues. Ky ngarkues ekzekuton komponentin kryesor të malware pas shkarkimit dhe deshifrimit të tij nga një server C2 .

    Faza e dytë: Mbledhja e informacionit

    Ngarkesa e fazës së dytë mbledh informacione rreth pajisjes, duke përfshirë:

    • Statusi i lidhjes
    • Aplikacionet e instaluara
    • Përqindja e baterisë
    • Adresa IP e jashtme
    • Versioni aktual i Google Play

    Për më tepër, ai mund të fshijë modulin bazë dhe të kërkojë leje për të vizatuar mbivendosje dhe për të ekzekutuar në sfond.

    Faza e tretë: Vjedhja e kredencialeve dhe më shumë

    Faza e tretë mbështet komanda shtesë, të tilla si:
    Ngarkimi i një URL specifike në një WebView

    Nisja e një sesioni për ndarjen e ekranit në distancë

    Regjistrimi i ekranit të pajisjes për të vjedhur kredencialet dhe për të hedhur më shumë malware

    Duke anashkaluar “Cilësimet e kufizuara” të Android 13

    Mandrake përdor një instalues të paketave 'të bazuara në sesione' për të anashkaluar veçorinë 'Cilësimet e kufizuara' të Android 13, e cila ndalon aplikacionet e ngarkuara anësore të kërkojnë drejtpërdrejt leje të pasigurta.

    Përfundim: Një kërcënim gjithnjë në zhvillim

    Studiuesit e përshkruajnë Mandrake si një kërcënim dinamik në zhvillim, duke përmirësuar vazhdimisht teknikat e tij për të anashkaluar mekanizmat mbrojtës dhe për të shmangur zbulimin. Kjo tregon aftësitë e jashtëzakonshme të aktorëve të kërcënimit dhe nxjerr në pah nevojën për kontrolle më të rrepta për aplikacionet përpara se ato të publikohen në tregjet zyrtare të aplikacioneve.

Në trend

Më e shikuara

Po ngarkohet...