Mandrake
นักวิจัยของ Infosec ได้ค้นพบแคมเปญระดับไฮเอนด์ที่กำหนดเป้าหมายผู้ใช้ Android ที่อยู่ ในออสเตรเลีย ด้วย เครื่องมือ ที่ เรียกว่า Mandrake แน่นอนว่าอาชญากรไซเบอร์ที่อยู่เบื้องหลังเครื่องมือแฮ็ก Mandrake อาจ เลือกที่จะ เปลี่ยนจุดสนใจและกำหนดเป้าหมายผู้ใช้จากสถานที่อื่นในแคมเปญในอนาคต มัลแวร์ Mandrake เกิดขึ้นครั้งแรกในปี 2559 นับตั้งแต่ นักวิเคราะห์มัลแวร์ตรวจพบภัยคุกคาม Mandrake ผู้สร้างก็ได้ แนะนำ การอัปเดตเป็นประจำ ผู้สร้างภัยคุกคาม Mandrake ได้เพิ่มคุณสมบัติใหม่ เพิ่มประสิทธิภาพอันเก่า ลบโมดูลที่ไม่จำเป็นออก และ ปรับปรุงเครื่องมือแฮ็ก โดยรวม เพื่อให้แน่ใจว่ายังคงมีศักยภาพมาก
สารบัญ
Mandrake รวบรวมข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่ติดไวรัส
มัลแวร์ Mandrake สามารถแพร่กระจายไปยังผู้ใช้นับพันราย ได้ อย่างง่ายดาย อย่างไรก็ตาม ผู้ดำเนินการ ไม่ได้ใช้ วิธีการสแปมจำนวนมาก ดูเหมือนว่าพวกเขาจะเลือกเป้าหมายอย่างระมัดระวัง ขณะนี้มีสำเนาที่ใช้งานอยู่เพียงประมาณ 500 ชุดเท่านั้น ภัยคุกคาม Mandrake สามารถ จัดได้ ว่าเป็นสปายแวร์ และ ดูเหมือนว่า ผู้เขียนจะ ปรับใช้ภัยคุกคามดังกล่าวกับเป้าหมายที่ได้ รับการตรวจสอบ มาระยะหนึ่งแล้ว เท่านั้น
หากสปายแวร์ Mandrake โจมตีอุปกรณ์ Android ของคุณ มัน จะสามารถ ทำงานที่หลากหลายได้ เนื่องจากภัยคุกคาม Mandrake ถูกระบุ ว่าเป็นสปายแวร์ เป้าหมายของมันคือการรวบรวม ข้อมูล ที่สำคัญ จากโฮสต์เป้าหมาย เป็นไปได้ว่าสปายแวร์ Mandrake อนุญาตให้ ผู้ปฏิบัติงานเข้าถึงผู้ใช้ได้:
- ข้อมูลรับรองการเข้าสู่ระบบ
- รายชื่อผู้ติดต่อ
- รูปภาพและวิดีโอ ที่เก็บไว้ ในแกลเลอรี
- ข้อมูลบัญชีธนาคาร
- รายละเอียดการจ่ายเงิน.
- บทสนทนาส่วนตัว
เมื่อคำนึงถึง ข้อมูลมากมายที่สปายแวร์ Mandrake รวบรวม จึงมีแนวโน้มว่า ผู้ปฏิบัติงานอาจนำไปใช้ทั้งเพื่อปฏิบัติการแบล็กเมล์และแคมเปญฉ้อโกงทางการเงิน
เนื่องจาก ผู้โจมตีดูเหมือนผู้ใช้เป้าหมายทุกคนจะได้รับการติดต่อจากผู้โจมตีแตกต่างกัน จึงมีแนวโน้มว่า เหยื่อจะได้รับการคัดเลือกอย่างระมัดระวัง มีแนวโน้มว่า แคมเปญ Mandrake ดำเนินการโดย กลุ่มอาชญากรไซเบอร์ ที่มีทักษะสูงและมีประสบการณ์สูง ซึ่งรู้ว่าพวกเขากำลังทำอะไรอยู่ ตรวจสอบให้แน่ใจว่า อุปกรณ์ Android ของคุณได้รับการปกป้องโดยแอปพลิเคชันป้องกันไวรัสของแท้และมีชื่อเสียง
มัลแวร์มือถือ Mandrake ที่พัฒนาขึ้นมุ่งเป้าไปที่ผู้ใช้ Android
พบการทำซ้ำใหม่ของสปายแวร์ Android ที่มีความซับซ้อนสูง Mandrake ถูกค้นพบว่าซุ่มซ่อนอยู่ในห้าแอปพลิเคชันบน Google Play Store สปายแวร์นี้ สามารถตรวจ ไม่พบได้เป็นเวลาสองปี
การแทรกซึมที่ซ่อนเร้น: แอพและการเข้าถึง
แอปพลิเคชั่นที่ติดไวรัสทั้งห้าถูกดาวน์โหลด มากกว่า 32,000 ครั้งก่อนที่จะถูกลบออกจาก Google Play Store การดาวน์โหลดเหล่านี้ ส่วนใหญ่ มาจากประเทศต่างๆ เช่น แคนาดา เยอรมนี อิตาลี เม็กซิโก สเปน เปรู และสหราชอาณาจักร
ยุทธวิธีการหลบหลีกขั้นสูง
ตัวอย่างใหม่ของ Mandrake มีเทคนิคการปกปิดและการหลีกเลี่ยงขั้นสูงหลายชั้น:
-
- การย้ายฟังก์ชันการทำงานที่เป็นอันตรายไปยังไลบรารีดั้งเดิมที่สับสน
- การใช้การปักหมุดใบรับรองเพื่อการสื่อสารแบบสั่งและควบคุม (C2) ที่ปลอดภัย
- ทำการทดสอบจำนวนมากเพื่อตรวจสอบว่ามัลแวร์ทำงานบนอุปกรณ์ที่รูทหรืออยู่ในสภาพแวดล้อมจำลอง
เทคนิคต่อต้านการวิเคราะห์
เวอร์ชันที่อัปเดตของ Mandrake ใช้ OLLVM (Obfuscation LLVM) เพื่อปกปิด ฟังก์ชันการทำงาน หลัก นอกจากนี้ พวกเขายังรวมเอาการหลีกเลี่ยงแซนด์บ็อกซ์และเทคนิคการป้องกันการวิเคราะห์ต่างๆ เพื่อป้องกันการตรวจจับโดยนักวิเคราะห์มัลแวร์
แอปพลิเคชันที่ติดไวรัส
แอปพลิเคชันทั้งห้าที่พบว่ามีสปายแวร์ Mandrake ได้แก่:
แอร์เอฟเอส (com.airft.ftrnsfr)
อำพัน ( com.shrp .sght )
แอสโตรเอ็กซ์พลอเรอร์ (com.astro.dscvr)
Brain Matrix ( com.brnmth . mtrx )
CryptoPulsing (com. cryptopulsing .browser)
กระบวนการติดเชื้อหลายขั้นตอน
ด่านที่หนึ่ง: หยด
การติดเชื้อครั้งแรกเริ่มต้นด้วยหยดที่เปิดตัวโหลดเดอร์ ตัวโหลด นี้ จะรันองค์ประกอบหลัก ของมัลแวร์หลังจากดาวน์โหลดและถอดรหัสจากเซิร์ฟเวอร์ C2
ขั้นตอนที่สอง: การรวบรวมข้อมูล
เพย์โหลดขั้นที่สองจะรวบรวมข้อมูลเกี่ยวกับอุปกรณ์ ได้แก่:
-
- สถานะการเชื่อมต่อ
-
- แอพพลิเคชั่นที่ติดตั้ง
-
- เปอร์เซ็นต์แบตเตอรี่
-
- ที่อยู่ IP ภายนอก
-
- เวอร์ชัน Google Play ปัจจุบัน
นอกจากนี้ยังสามารถล้างโมดูลหลักและขอสิทธิ์ในการวาดภาพซ้อนทับและทำงานในพื้นหลังได้
ขั้นตอนที่สาม: การขโมยข้อมูลประจำตัวและอื่นๆ
ขั้นตอนที่สามรองรับคำสั่งเพิ่มเติม เช่น:
กำลังโหลด URL เฉพาะใน WebView
กำลังเริ่มต้นเซสชันการแชร์หน้าจอระยะไกล
การบันทึกหน้าจออุปกรณ์เพื่อขโมยข้อมูลประจำตัวและปล่อยมัลแวร์เพิ่มเติม
ข้าม 'การตั้งค่าที่จำกัด' ของ Android 13
Mandrake ใช้ตัวติดตั้งแพ็คเกจ 'ตามเซสชัน' เพื่อเลี่ยงผ่านคุณสมบัติ 'การตั้งค่าที่จำกัด' ของ Android 13 ซึ่งห้ามไม่ให้ แอปพลิเคชันไซด์โหลดร้องขอการอนุญาตที่ไม่ปลอดภัยโดยตรง
บทสรุป: ภัยคุกคามที่พัฒนาอยู่ตลอดเวลา
นักวิจัยอธิบายว่า Mandrake เป็นภัยคุกคามที่มีการพัฒนาอย่างต่อเนื่อง โดยปรับปรุงเทคนิคของมันอย่างต่อเนื่องเพื่อหลีกเลี่ยงกลไกการป้องกันและหลบเลี่ยงการตรวจจับ สิ่งนี้ แสดงให้เห็นถึงทักษะที่น่าเกรงขามของผู้แสดงภัยคุกคาม และเน้นย้ำถึงความจำเป็นในการควบคุมแอปพลิเคชันที่เข้มงวดมากขึ้นก่อนที่จะ เผยแพร่ ในตลาดแอปอย่างเป็นทางการ
