Mandrake

Natuklasan ng mga mananaliksik ng Infosec ang isang high-end na campaign na nagta-target sa mga user ng Android na matatagpuan sa Australia gamit ang isang tool na tinatawag na Mandrake . Siyempre, maaaring piliin ng cyber crooks sa likod ng tool sa pag-hack ng Mandrake na baguhin ang kanilang pagtuon at i-target ang mga user mula sa ibang lokasyon sa mga kampanya sa hinaharap. Ang Mandrake malware ay unang lumitaw noong 2016. Mula nang makita ng mga analyst ng malware ang banta ng Mandrake, ang mga tagalikha nito ay nagpapakilala ng mga regular na update. Ang mga tagalikha ng banta ng Mandrake ay nagdagdag ng mga bagong feature, nag-optimize ng mga luma, nag-alis ng mga hindi kinakailangang module, at pangkalahatang pinahusay ang tool sa pag-hack upang matiyak na ito ay nananatiling napakalakas.

Kinokolekta ni Mandrake ang Sensitibong Data mula sa Mga Infected na Device

Ang Mandrake malware ay madaling maipamahagi sa libu-libong user . Gayunpaman, ang mga operator nito ay hindi gumagamit ng mass-spam na diskarte. Sa halip, lumilitaw na maingat nilang piliin ang kanilang mga target. May mga 500 kopya lamang ang aktibo sa kasalukuyan. Ang banta ng Mandrake ay maaaring uriin bilang spyware, at mukhang idini-deploy lamang ito ng mga may-akda nito sa mga target na matagal nang sinusubaybayan .

Kung ikompromiso ng Mandrake spyware ang iyong Android device, makakagawa ito ng malaking iba't ibang mga gawain. Dahil ang banta ng Mandrake ay nakalista bilang spyware, ang layunin nito ay mangolekta ng mahalagang impormasyon mula sa mga naka-target na host. Malamang na pinapayagan ng Mandrake spyware ang mga operator nito na makuha ang kanilang mga kamay sa mga gumagamit:

• Mga kredensyal sa pag-log in.
• Listahan ng mga contact.
• Mga larawan at video na nakaimbak sa kanilang gallery.
• Impormasyon sa bank account.
• Mga detalye ng pagbabayad.
• Mga personal na pag-uusap

Sa pag-iisip sa malawak na hanay ng impormasyon na kinokolekta ng Mandrake spyware, malamang na ginagamit ito ng mga operator nito para sa parehong mga operasyon ng blackmail at mga kampanya ng pandaraya sa pananalapi.

Dahil ang bawat naka-target na gumagamit ay tila iba-iba ang paglapit ng mga umaatake, malamang na ang mga biktima ay maingat na pinipili. Malamang na ang Mandrake campaign ay isinasagawa ng isang highly-skilled at very experience na grupo ng mga cybercriminals na alam kung ano ang eksaktong ginagawa nila. Tiyaking protektado ang iyong Android device ng isang tunay, kagalang-galang na anti-virus na application.

Tina-target ng Evolved Mandrake Mobile Malware ang Mga User ng Android

Isang bagong pag-ulit ng napaka-sopistikadong Android spyware , Mandrake, ay natuklasan na nakatago sa loob ng limang application sa Google Play Store. Ang spyware na ito ay pinamamahalaang manatiling hindi natukoy sa loob ng dalawang taon.

Stealthy Infiltration: Ang Mga App at Ang Abot Nito

Ang limang nahawaang application ay na-download nang higit sa 32,000 beses bago inalis sa Google Play Store. Ang karamihan sa mga pag-download na ito ay nagmula sa mga bansa kabilang ang Canada, Germany, Italy, Mexico, Spain, Peru, at UK

Mga Advanced na Taktika sa Pag-iwas

Itinampok ng mga bagong sample ng Mandrake ang mga advanced na layer ng obfuscation at evasion technique:

• Paglilipat ng nakakahamak na functionality sa mga na-obfuscate na native na library
• Paggamit ng certificate pinning para sa secure na command-and-control (C2) na komunikasyon
• Nagsasagawa ng maraming pagsubok upang matukoy kung ang malware ay tumatakbo sa isang naka-root na device o sa isang emulated na kapaligiran

Anti-Analysis Techniques

Ginamit ng mga na-update na variant ng Mandrake ang OLLVM (Obfuscation LLVM) upang itago ang kanilang pangunahing functionality. Bukod pa rito, isinama nila ang iba't ibang sandbox evasion at mga diskarte sa anti-analysis upang maiwasan ang pagtuklas ng mga malware analyst.

Ang mga Nahawaang Aplikasyon

Ang limang application na natagpuang naglalaman ng Mandrake spyware ay:

AirFS (com.airft.ftrnsfr)

Amber (com. shrp . Sght )

Astro Explorer (com.astro.dscvr)

Brain Matrix (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

Multi-Stage na Proseso ng Impeksyon

Unang Yugto: Ang Dropper

Ang unang impeksyon ay nagsisimula sa isang dropper na naglulunsad ng isang loader. Isinasagawa ng loader na ito ang pangunahing bahagi ng malware pagkatapos i-download at i-decrypt ito mula sa isang C2 server .

Ikalawang Yugto: Pagkalap ng Impormasyon

Kinokolekta ng second-stage payload ang impormasyon tungkol sa device, kabilang ang:

• Katayuan ng pagkakakonekta
• Mga naka-install na application
• Porsyento ng baterya
• Panlabas na IP address
• Kasalukuyang bersyon ng Google Play

Bukod pa rito, maaari nitong i-wipe ang core module at humiling ng mga pahintulot na gumuhit ng mga overlay at tumakbo sa background.

Ikatlong Yugto: Pagnanakaw ng Kredensyal at Higit Pa

Ang ikatlong yugto ay sumusuporta sa mga karagdagang utos, tulad ng:
Naglo-load ng isang partikular na URL sa isang WebView

Pagsisimula ng isang remote na session ng pagbabahagi ng screen

Pagre-record ng screen ng device upang magnakaw ng mga kredensyal at mag-drop ng higit pang malware

Pag-bypass sa 'Restricted Settings' ng Android 13

Gumagamit si Mandrake ng 'sesion-based' package installer para i-bypass ang feature na 'Restricted Settings' ng Android 13, na nagbabawal sa mga sideloaded na application na direktang humiling ng mga hindi ligtas na pahintulot.

Konklusyon: Isang Patuloy na Umuunlad na Banta

Inilalarawan ng mga mananaliksik ang Mandrake bilang isang dynamic na umuusbong na banta, patuloy na pinipino ang mga diskarte nito upang i-bypass ang mga mekanismo ng depensa at maiwasan ang pagtuklas. Ipinakikita nito ang kakila-kilabot na kakayahan ng mga aktor ng pagbabanta at binibigyang-diin ang pangangailangan para sa mas mahigpit na kontrol para sa mga application bago ito mai-publish sa mga opisyal na marketplace ng app.