Mandrake
Дослідники Infosec виявили висококласну кампанію, націлену на користувачів Android в Австралії за допомогою інструмента під назвою Mandrake . Звичайно, кібершахраї, які стоять за інструментом злому Mandrake, можуть змінити фокус і націлитися на користувачів з іншого місця в майбутніх кампаніях. Зловмисне програмне забезпечення Mandrake вперше з’явилося в 2016 році. З тих пір, як аналітики зловмисного програмного забезпечення помітили загрозу Mandrake, його творці регулярно випускають оновлення. Творці загрози Mandrake додали нові функції, оптимізували старі, видалили непотрібні модулі та загалом покращили інструмент злому, щоб він залишався дуже потужним.
Зміст
Mandrake збирає конфіденційні дані із заражених пристроїв
Зловмисне програмне забезпечення Mandrake можна легко розповсюдити серед тисяч і тисяч користувачів . Однак його оператори не використовують підхід масового спаму. Натомість, здається, вони ретельно обирають свої цілі. На даний момент є лише близько 500 активних копій. Загрозу Mandrake можна класифікувати як шпигунську програму, і, здавалося б, її автори розгортають її лише на цілях, за якими деякий час спостерігали .
Якщо шпигунське програмне забезпечення Mandrake скомпрометує ваш пристрій Android, воно зможе виконувати різноманітні завдання. Оскільки загроза Mandrake внесена до списку шпигунських програм, її метою є збір важливої інформації з цільових хостів. Цілком ймовірно, що шпигунське програмне забезпечення Mandrake дозволяє своїм операторам отримати доступ до користувачів:
- Облікові дані для входу.
- Список контактів.
- Зображення та відео зберігаються в їхній галереї.
- Інформація про банківський рахунок.
- Платіжні реквізити.
- Особисті розмови
З огляду на широкий спектр інформації, яку збирає шпигунське програмне забезпечення Mandrake, цілком ймовірно, що його оператори можуть використовувати його як для операцій шантажу, так і для кампаній фінансового шахрайства.
Оскільки зловмисники, здається, підходять по-різному до кожного цільового користувача, ймовірно, що жертви вибираються дуже ретельно. Ймовірно, що кампанія Mandrake проводиться висококваліфікованою та дуже досвідченою групою кіберзлочинців, які точно знають, що вони роблять. Переконайтеся, що ваш Android-пристрій захищено справжньою антивірусною програмою, яка має авторитет.
Зловмисне програмне забезпечення для мобільних пристроїв Evolved Mandrake націлене на користувачів Android
Нову ітерацію надзвичайно складного шпигунського програмного забезпечення для Android , Mandrake, було виявлено в п’яти програмах Google Play Store. Ця шпигунська програма залишалася непоміченою протягом двох років.
Приховане проникнення: додатки та їх охоплення
П'ять інфікованих програм були завантажені більше 32 000 разів, перш ніж їх було видалено з Google Play Store. Більшість цих завантажень походить із таких країн, як Канада, Німеччина, Італія, Мексика, Іспанія, Перу та Велика Британія.
Розширена тактика ухилення
Нові зразки Mandrake містять передові рівні методів обфускації та ухилення:
-
- Переміщення шкідливих функціональних можливостей до обфускованих рідних бібліотек
- Використання закріплення сертифіката для безпечного зв’язку командно-контрольних (C2).
- Виконання численних тестів, щоб виявити, чи запущено зловмисне програмне забезпечення на пристрої з root-доступом або в емульованому середовищі
Техніки антианалізу
Оновлені варіанти Mandrake використовували OLLVM (Obfuscation LLVM), щоб приховати свою основну функціональність. Крім того, вони включили різні методи ухилення від пісочниці та антианалізу, щоб запобігти виявленню аналітиками зловмисного програмного забезпечення.
Інфіковані програми
П’ять програм, які містять шпигунське програмне забезпечення Mandrake:
AirFS (com.airft.ftrnsfr)
Янтар (ком. shrp . sght )
Astro Explorer (com.astro.dscvr)
Brain Matrix (ком. brnmth . mtrx )
CryptoPulsing (ком. cryptopulsing .browser)
Багатостадійний процес інфікування
Етап перший: крапельниця
Початкове зараження починається з дроппера, який запускає завантажувач. Цей завантажувач виконує основний компонент зловмисного програмного забезпечення після завантаження та дешифрування його з сервера C2 .
Другий етап: Збір інформації
Корисне навантаження другого етапу збирає інформацію про пристрій, зокрема:
-
- Статус підключення
-
- Встановлені програми
-
- Відсоток батареї
-
- Зовнішня IP-адреса
-
- Поточна версія Google Play
Крім того, він може стирати основний модуль і запитувати дозволи на малювання накладень і роботу у фоновому режимі.
Третій етап: крадіжка облікових даних тощо
Третій етап підтримує додаткові команди, такі як:
Завантаження певної URL-адреси в WebView
Ініціювання віддаленого сеансу показу екрана
Запис екрану пристрою для викрадення облікових даних і скидання нових шкідливих програм
Обхід «Обмежених налаштувань» Android 13
У Mandrake використовується «сеансовий» інсталятор пакетів, щоб обійти функцію «Обмежених налаштувань» Android 13, яка забороняє завантаженим стороннім програмам напряму запитувати небезпечні дозволи.
Висновок: загроза, що постійно розвивається
Дослідники описують Mandrake як загрозу, що динамічно розвивається, і постійно вдосконалює свої методи, щоб обійти захисні механізми та уникнути виявлення. Це демонструє надзвичайні навички зловмисників і підкреслює необхідність суворішого контролю за додатками перед їх публікацією на офіційних ринках додатків.
