Mandrake
Các nhà nghiên cứu của Infosec đã phát hiện ra một chiến dịch cao cấp nhắm mục tiêu vào người dùng Android ở Úc bằng một công cụ có tên Mandrake . Tất nhiên, những kẻ lừa đảo trên mạng đằng sau công cụ hack Mandrake có thể chọn thay đổi trọng tâm của chúng và nhắm mục tiêu vào người dùng từ một vị trí khác trong các chiến dịch trong tương lai. Phần mềm độc hại Mandrake xuất hiện lần đầu tiên vào năm 2016. Kể từ khi các nhà phân tích phần mềm độc hại phát hiện ra mối đe dọa Mandrake, những người tạo ra nó đã giới thiệu các bản cập nhật thường xuyên. Những kẻ tạo ra mối đe dọa Mandrake đã thêm các tính năng mới, tối ưu hóa các tính năng cũ, loại bỏ các mô-đun không cần thiết và cải tiến tổng thể công cụ hack để đảm bảo nó vẫn rất mạnh mẽ.
Mục lục
Mandrake thu thập dữ liệu nhạy cảm từ các thiết bị bị nhiễm độc
Phần mềm độc hại Mandrake có thể được phát tán tới hàng nghìn người dùng một cách dễ dàng . Tuy nhiên, các nhà khai thác của nó không áp dụng phương pháp tiếp cận thư rác hàng loạt. Thay vào đó, họ dường như chọn mục tiêu một cách cẩn thận. Hiện tại chỉ có khoảng 500 bản hoạt động. Mối đe dọa Mandrake có thể được phân loại là phần mềm gián điệp và có vẻ như tác giả của nó chỉ triển khai nó tới các mục tiêu đã được theo dõi trong một thời gian.
Nếu phần mềm gián điệp Mandrake xâm phạm thiết bị Android của bạn, nó sẽ có thể thực hiện nhiều tác vụ khác nhau. Vì mối đe dọa Mandrake được liệt kê là phần mềm gián điệp nên mục tiêu của nó là thu thập thông tin quan trọng từ các máy chủ được nhắm mục tiêu. Có khả năng phần mềm gián điệp Mandrake cho phép các nhà điều hành của nó tiếp cận người dùng:
- Thông tin đăng nhập.
- Danh sách liên lạc.
- Hình ảnh và video được lưu trữ trong bộ sưu tập của họ.
- Thông tin tài khoản ngân hàng.
- Chi tiết thanh toán.
- Cuộc trò chuyện cá nhân
Lưu ý đến rất nhiều thông tin mà phần mềm gián điệp Mandrake thu thập, có khả năng những kẻ điều hành nó có thể đang sử dụng nó cho cả hoạt động tống tiền và chiến dịch gian lận tài chính.
Vì mỗi người dùng mục tiêu dường như được những kẻ tấn công tiếp cận theo những cách khác nhau nên có khả năng nạn nhân được lựa chọn rất cẩn thận. Có khả năng chiến dịch Mandrake được thực hiện bởi một nhóm tội phạm mạng có tay nghề cao và rất giàu kinh nghiệm, những người biết chính xác những gì chúng đang làm. Đảm bảo thiết bị Android của bạn được bảo vệ bởi ứng dụng chống vi-rút chính hãng, uy tín.
Phần mềm độc hại di động Mandrake đã phát triển nhắm mục tiêu người dùng Android
Một phiên bản mới của phần mềm gián điệp Android cực kỳ tinh vi , Mandrake, đã được phát hiện ẩn nấp trong năm ứng dụng trên Cửa hàng Google Play. Phần mềm gián điệp này đã không bị phát hiện trong hai năm.
Xâm nhập lén lút: Ứng dụng và phạm vi tiếp cận của chúng
Năm ứng dụng bị nhiễm đã được tải xuống hơn 32.000 lần trước khi bị xóa khỏi Google Play Store. Phần lớn các lượt tải xuống này có nguồn gốc từ các quốc gia bao gồm Canada, Đức, Ý, Mexico, Tây Ban Nha, Peru và Vương quốc Anh.
Chiến thuật né tránh nâng cao
Các mẫu mới của Mandrake có các lớp kỹ thuật che giấu và né tránh tiên tiến:
-
- Di chuyển chức năng độc hại sang các thư viện gốc bị xáo trộn
- Sử dụng ghim chứng chỉ để liên lạc bằng lệnh và kiểm soát (C2) an toàn
- Thực hiện nhiều thử nghiệm để phát hiện xem phần mềm độc hại đang chạy trên thiết bị đã root hay trong môi trường mô phỏng
Kỹ thuật chống phân tích
Các biến thể cập nhật của Mandrake đã sử dụng OLLVM (Obfuscation LLVM) để che giấu chức năng chính của chúng . Ngoài ra, họ còn kết hợp nhiều kỹ thuật chống phân tích và trốn tránh hộp cát khác nhau để ngăn chặn sự phát hiện của các nhà phân tích phần mềm độc hại.
Các ứng dụng bị nhiễm độc
Năm ứng dụng được phát hiện có chứa phần mềm gián điệp Mandrake là:
AirFS (com.airft.ftrnsfr)
Hổ phách (com. shrp . sght )
Astro Explorer (com.astro.dscvr)
Ma trận não (com. brnmth . mtrx )
CryptoPulsing (com. cryptopulsing .browser)
Quá trình lây nhiễm nhiều giai đoạn
Giai đoạn một: Người nhỏ giọt
Sự lây nhiễm ban đầu bắt đầu bằng một ống nhỏ giọt khởi chạy một bộ nạp. Trình tải này thực thi thành phần cốt lõi của phần mềm độc hại sau khi tải xuống và giải mã nó từ máy chủ C2 .
Giai đoạn hai: Thu thập thông tin
Tải trọng giai đoạn hai thu thập thông tin về thiết bị, bao gồm:
-
- Trạng thái kết nối
-
- Ứng dụng đã cài đặt
-
- Phần trăm pin
-
- Địa chỉ IP bên ngoài
-
- Phiên bản Google Play hiện tại
Ngoài ra, nó có thể xóa mô-đun lõi và yêu cầu quyền vẽ lớp phủ và chạy ở chế độ nền.
Giai đoạn ba: Trộm cắp thông tin xác thực và hơn thế nữa
Giai đoạn thứ ba hỗ trợ các lệnh bổ sung, chẳng hạn như:
Đang tải một URL cụ thể trong WebView
Bắt đầu phiên chia sẻ màn hình từ xa
Ghi lại màn hình thiết bị để đánh cắp thông tin xác thực và phát tán thêm phần mềm độc hại
Vượt qua 'Cài đặt hạn chế' của Android 13
Mandrake sử dụng trình cài đặt gói 'dựa trên phiên' để vượt qua tính năng 'Cài đặt hạn chế' của Android 13, tính năng này cấm các ứng dụng đã tải trực tiếp yêu cầu các quyền không an toàn.
Kết luận: Một mối đe dọa ngày càng phát triển
Các nhà nghiên cứu mô tả Mandrake là một mối đe dọa đang phát triển năng động, liên tục cải tiến các kỹ thuật của nó để vượt qua các cơ chế phòng thủ và trốn tránh sự phát hiện. Điều này cho thấy những kỹ năng đáng gờm của kẻ đe dọa và nêu bật sự cần thiết phải kiểm soát chặt chẽ hơn đối với các ứng dụng trước khi chúng được xuất bản trên các chợ ứng dụng chính thức.
