Mandrake

Infosec araştırmacıları, Mandrake adlı bir araçla Avustralya'da bulunan Android kullanıcılarını hedefleyen üst düzey bir kampanyayı ortaya çıkardı . Elbette, Mandrake hackleme aracının arkasındaki siber dolandırıcılar, gelecekteki kampanyalarda odak noktalarını değiştirmeyi ve kullanıcıları farklı bir konumdan hedeflemeyi seçebilirler . Mandrake kötü amaçlı yazılımı ilk olarak 2016'da ortaya çıktı. Kötü amaçlı yazılım analistleri Mandrake tehdidini tespit ettiğinden beri , yaratıcıları düzenli güncellemeler sunuyor . Mandrake tehdidinin yaratıcıları yeni özellikler ekledi, eskileri optimize etti, gereksiz modülleri kaldırdı ve hackleme aracını genel olarak iyileştirerek çok güçlü kalmasını sağladı.

Mandrake, Etkilenen Cihazlardan Hassas Veriler Topluyor

Mandrake kötü amaçlı yazılımı binlerce kullanıcıya kolayca dağıtılabilir . Ancak operatörleri toplu spam yaklaşımını benimsemiyor . Bunun yerine hedeflerini dikkatle seçiyor gibi görünüyorlar. Şu anda yalnızca yaklaşık 500 kopya aktif durumda. Mandrake tehdidi casus yazılım olarak sınıflandırılabilir ve görünen o ki, yazarları bunu yalnızca bir süredir izlenen hedeflere dağıtıyor .

Mandrake casus yazılımı Android cihazınızın güvenliğini ihlal ederse, çok çeşitli görevleri gerçekleştirebilecektir . Mandrake tehdidi casus yazılım olarak listelendiğinden amacı, hedeflenen ana bilgisayarlardan önemli bilgiler toplamaktır . Mandrake casus yazılımının operatörlerinin kullanıcıları ele geçirmesine olanak sağlaması muhtemeldir :

• Giriş kimlik.

• Kişi listesi.

• Galerilerinde saklanan resimler ve videolar .

• Banka hesabı bilgileri.

• Ödeme detayları.

• Kişisel görüşmeler

Mandrake casus yazılımının topladığı geniş bilgi yelpazesi göz önüne alındığında , operatörlerinin bunu hem şantaj operasyonları hem de mali dolandırıcılık kampanyaları için kullanıyor olması muhtemeldir .

Saldırganlar hedeflenen her kullanıcıya farklı şekilde yaklaştığı için kurbanların çok dikkatli seçilmesi muhtemeldir. Mandrake kampanyasının , ne yaptığını tam olarak bilen, oldukça yetenekli ve deneyimli bir siber suçlu grubu tarafından yürütülmesi muhtemeldir . Android cihazınızın orijinal, saygın bir anti-virüs uygulaması tarafından korunduğundan emin olun .

Gelişen Mandrake Mobil Kötü Amaçlı Yazılımı Android Kullanıcılarını Hedefliyor

Son derece gelişmiş Android casus yazılımı Mandrake'in yeni versiyonu , Google Play Store'daki beş uygulamada gizlendiği keşfedildi. Bu casus yazılım iki yıl boyunca fark edilmeden kalmayı başardı .

Gizli Sızma: Uygulamalar ve Erişimleri

Virüs bulaşan beş uygulama , Google Play Store'dan kaldırılmadan önce 32.000'den fazla kez indirildi . Bu indirmelerin çoğunluğu Kanada, Almanya, İtalya, Meksika, İspanya, Peru ve Birleşik Krallık gibi ülkelerden geldi

Gelişmiş Kaçınma Taktikleri

Mandrake'in yeni örnekleri, ileri düzey gizleme ve kaçınma tekniklerine sahipti:

• • Kötü amaçlı işlevlerin gizlenmiş yerel kitaplıklara taşınması

• Güvenli komuta ve kontrol (C2) iletişimleri için sertifika sabitlemeyi kullanma
• Kötü amaçlı yazılımın root erişimli bir cihazda mı yoksa taklit edilmiş bir ortamda mı çalıştığını tespit etmek için çok sayıda test yapılması

Anti-Analiz Teknikleri

Mandrake'in güncellenmiş çeşitleri, ana işlevlerini gizlemek için OLLVM'yi (Gizleme LLVM) kullandı. Ek olarak, kötü amaçlı yazılım analistlerinin tespitini önlemek için çeşitli sandbox kaçınma ve anti-analiz tekniklerini de dahil ettiler.

Virüslü Uygulamalar

Mandrake casus yazılımını içerdiği tespit edilen beş uygulama şunlardır:

AirFS (com.airft.ftrnsfr)

Amber ( com.shrp.sght )​

Astro Gezgini (com.astro.dscvr)

Beyin Matrisi ( com.brnmth .mtrx )

CryptoPulsing (com. cryptopulsing .browser)

Çok Aşamalı Enfeksiyon Süreci

Birinci Aşama: Damlalık

İlk enfeksiyon, yükleyiciyi çalıştıran bir damlalıkla başlar. Bu yükleyici, kötü amaçlı yazılımın temel bileşenini bir C2 sunucusundan indirip şifresini çözdükten sonra çalıştırır .

İkinci Aşama: Bilgi Toplama

İkinci aşama verisi, cihaz hakkında aşağıdakiler dahil bilgileri toplar:

• • Bağlantı durumu

• • Yüklü uygulamalar

• • Batarya yüzdesi

• • Harici IP adresi

• • Mevcut Google Play sürümü

Ek olarak, çekirdek modülü silebilir ve kaplamaların çizilmesi ve arka planda çalıştırılması için izinler isteyebilir.

Üçüncü Aşama: Kimlik Bilgisi Hırsızlığı ve Daha Fazlası

Üçüncü aşama aşağıdakiler gibi ek komutları destekler:
Web Görünümüne belirli bir URL yükleme

Uzak ekran paylaşımı oturumu başlatma

Kimlik bilgilerini çalmak ve daha fazla kötü amaçlı yazılım bırakmak için cihaz ekranını kaydetme

Android 13'ün 'Kısıtlı Ayarları' Atlanıyor

Mandrake, Android 13'ün , dışarıdan yüklenen uygulamaların doğrudan güvenli olmayan izinler istemesini engelleyen 'Kısıtlı Ayarlar' özelliğini atlamak için 'oturum tabanlı' bir paket yükleyici kullanıyor .

Sonuç: Sürekli Gelişen Bir Tehdit

Araştırmacılar, Mandrake'i dinamik olarak gelişen, savunma mekanizmalarını atlatmak ve tespit edilmekten kaçınmak için tekniklerini sürekli geliştiren bir tehdit olarak tanımlıyor. Bu, tehdit aktörlerinin müthiş becerilerini ortaya koyuyor ve uygulamalar için resmi uygulama pazarlarında yayınlanmadan önce daha sıkı kontrollerin gerekliliğini vurguluyor .