Multi-License Discount Quote
Hotdatabas Mobile Malware Mandrake

Mandrake

Med GoldSparrow år Mobile Malware, Spyware
Översätt till:
Svenska

Infosec-forskare har upptäckt en avancerad kampanj som riktar sig till Android-användare i Australien med ett verktyg som heter Mandrake . Naturligtvis kan cyberskurkarna bakom hackningsverktyget Mandrake välja att ändra sitt fokus och rikta in sig på användare från en annan plats i framtida kampanjer. Mandrake skadlig programvara dök upp först 2016. Ända sedan skadlig programvara analytiker upptäckte Mandrake-hotet, har dess skapare infört regelbundna uppdateringar. Skaparna av Mandrake-hotet har lagt till nya funktioner, optimerat gamla, tagit bort onödiga moduler och totalt sett förbättrat hackningsverktyget för att säkerställa att det förblir mycket potent.

Mandrake samlar in känslig data från infekterade enheter

Mandrakes skadliga program kan enkelt distribueras till tusentals och åter tusentals användare . Dess operatörer använder dock inte mass-spam-metoden. Istället verkar de välja sina mål noggrant. Det finns bara cirka 500 exemplar aktiva för närvarande. Mandrake-hotet kan klassificeras som spionprogram, och det verkar som om dess författare bara distribuerar det till mål som har övervakats ett tag.

Om spionprogrammet Mandrake äventyrar din Android-enhet, kommer det att kunna utföra en mängd olika uppgifter. Eftersom Mandrake-hotet är listat som spionprogram, är dess mål att samla in viktig information från de riktade värdarna. Det är troligt att Mandrakes spionprogram tillåter sina operatörer att lägga vantarna på användarna:

  • Inloggningsuppgifter.

 

  • Kontaktlista.

 

  • Bilder och videor lagrade i deras galleri.

 

  • Bankkontoinformation.

 

  • Betalningsinformation.

 

  • Personliga samtal

Med tanke på det breda utbudet av information som Mandrakes spionprogram samlar in, är det troligt att dess operatörer kan använda det för både utpressningsoperationer och ekonomiska bedrägerikampanjer.

Eftersom varje riktad användare tycks bli kontaktad av angriparna på olika sätt, är det troligt att offren väljs ut mycket noggrant. Det är troligt att Mandrake-kampanjen genomförs av en mycket skicklig och mycket erfaren grupp cyberkriminella som vet vad de gör exakt. Se till att din Android-enhet är skyddad av ett äkta, välrenommerat antivirusprogram.

Evolved Mandrake Mobile Malware riktar sig till Android-användare

En ny version av det mycket sofistikerade Android-spionprogrammet Mandrake har upptäckts lurande inom fem applikationer i Google Play Butik. Detta spionprogram lyckades förbli oupptäckt i två år.

Stealthy Infiltration: Apparna och deras räckvidd

De fem infekterade applikationerna laddades ner mer än 32 000 gånger innan de togs bort från Google Play Butik. Majoriteten av dessa nedladdningar kom från länder inklusive Kanada, Tyskland, Italien, Mexiko, Spanien, Peru och Storbritannien

Avancerad flykttaktik

De nya proverna av Mandrake innehöll avancerade lager av obfuskerings- och undanflyktstekniker:

 

    • Flytta skadlig funktionalitet till obfuskerade inbyggda bibliotek

 

  • Använder certifikatstiftning för säker kommando-och-kontroll-kommunikation (C2).
  • Utföra många tester för att upptäcka om skadlig programvara kördes på en rotad enhet eller i en emulerad miljö

 

Anti-analystekniker

Mandrakes uppdaterade varianter använde OLLVM (Obfuscation LLVM) för att dölja deras huvudsakliga funktionalitet. Dessutom inkorporerade de olika sandlådeundandragande och anti-analystekniker för att förhindra upptäckt av skadlig programvara analytiker.

De infekterade applikationerna

De fem applikationerna som har upptäckts innehålla Mandrake spionprogram är:

AirFS (com.airft.ftrnsfr)

Amber (com. shrp . sght )

Astro Explorer (com.astro.dscvr)

Brain Matrix (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

Flerstegs infektionsprocess

Steg ett: The Dropper

Den första infektionen börjar med en dropper som startar en lastare. Den här laddaren kör kärnkomponenten i skadlig programvara efter att ha laddat ner och dekrypterat den från en C2-server .

Steg två: Informationsinsamling

Nyttolasten i andra steget samlar in information om enheten, inklusive:

 

    • Anslutningsstatus

 

    • Installerade applikationer

 

    • Batteri procent

 

    • Extern IP-adress

 

    • Aktuell version av Google Play

 

Dessutom kan den torka av kärnmodulen och begära tillstånd att rita överlägg och köra i bakgrunden.

Steg tre: Autentiseringsstöld och mer

Det tredje steget stöder ytterligare kommandon, såsom:
Laddar en specifik URL i en WebView

Initierar en fjärrsession för skärmdelning

Spelar in enhetens skärm för att stjäla autentiseringsuppgifter och släppa mer skadlig programvara

Går förbi Android 13s “Begränsade inställningar”

Mandrake använder ett "sessionsbaserat" paketinstallationsprogram för att kringgå Android 13:s "Restricted Settings"-funktion, som förbjuder sidladdade applikationer från att direkt begära osäkra behörigheter.

Slutsats: Ett hot som ständigt utvecklas

Forskare beskriver Mandrake som ett dynamiskt utvecklande hot, som kontinuerligt förfinar sina tekniker för att kringgå försvarsmekanismer och undvika upptäckt. Detta visar upp hotaktörernas enorma kompetens och belyser nödvändigheten av strängare kontroller för applikationer innan de publiceras på officiella appmarknadsplatser.

Trendigt

Mest sedda

Läser in...