Mandrake Mobile Malware udfører luskede metoder til at narre brugere

Efter mere end to års skjul for øje, er en mystisk familie af Android-malware kendt som Mandrake igen dukket op på Google Play. Forklædt som legitime apps i kategorier som fildeling, astronomi og kryptovaluta, har Mandrake en historie med effektivt at skjule sine spionaktiviteter. Først identificeret af sikkerhedsfirmaet Bitdefender i 2020, understreger Mandrakes genopblussen de igangværende udfordringer inden for mobil sikkerhed.

Udviklingen af Mandrake

Mandrakes operatører har vist sig dygtige til at undgå opdagelse. Oprindeligt aktiv i to bølger - 2016 til 2017 og 2018 til 2020 - Mandrake anvender flere sofistikerede taktikker for at forblive uopdaget:

• Geografisk målretning : Mandrake undgår at operere i 90 lande, inklusive dem i det tidligere Sovjetunionen, hvilket reducerer risikoen for opdagelse.
• Selektiv målretning : Malwaren leverer kun sin nyttelast til meget specifikke mål.
• Selvdestruktionsmekanisme : Mandrake har en kill switch, kaldet "seppuku" (en form for japansk rituelt selvmord), som sletter alle spor af malwaren.
• Lokke-apps : Fuldt funktionelle lokke-apps i forskellige kategorier såsom økonomi, biler og køretøjer og produktivitet hjælper med at maskere dens sande hensigt.
• Hurtig respons : Udviklere adresserer hurtigt fejl, der er rapporteret i appkommentarer, for at opretholde en facade af legitimitet.
• TLS-certifikatstiftning : Denne teknik skjuler kommunikation med kommando- og kontrolservere.

En ny bølge af indtrængen

Efter Bitdefenders 2020-rapport syntes Mandrake at forsvinde fra Google Play. Sikkerhedsfirmaet Kaspersky har dog rapporteret, at malwaren dukkede op igen i 2022, indtil for nylig har været ubemærket. Den nye bølge af Mandrake-inficerede apps introducerede adskillige avancerede foranstaltninger til at forbedre tilsløring, undgå sandkasseanalyser og omgå nylige malwarebeskyttelser.

Kaspersky-forskerne Tatyana Shishkova og Igor Golovin fremhævede Mandrakes dynamiske udvikling og bemærkede, at dens seneste kampagne forblev uopdaget i to år, mens den var tilgængelig til download på Google Play. Dette illustrerer trusselsaktørernes sofistikerede færdigheder og den igangværende udfordring med at håndhæve strengere appkontroller uden utilsigtet at lade mere sofistikerede trusler slippe igennem.

Avancerede sløringsteknikker

Et centralt træk ved den seneste Mandrake-generation er dens mange lag af sløring, designet til at forpurre analyser og undgå detektion:

• Native Libraries : Ondsindet funktionalitet er blevet flyttet til native biblioteker, hvilket gør malware sværere at analysere og opdage.
• OLLVM Obfuscator : Dette værktøj slører yderligere det oprindelige bibliotek og forbedrer Mandrakes stealth.

Det primære mål med Mandrake er at stjæle brugeroplysninger og downloade og udføre ondsindede applikationer i næste trin. Disse handlinger forekommer kun i senere stadier af infektioner, rettet mod et lille antal nøje udvalgte ofre. En metode involverer at optage skærmen, mens et offer indtaster deres adgangskode.

Den igangværende kamp

Mandrakes genopkomst fremhæver den vedvarende og udviklende karakter af mobile malware-trusler. På trods af forbedringer i sikkerhedsforanstaltninger og app-vurderingsprocesser fortsætter trusselsaktører med at udvikle mere sofistikerede metoder til at infiltrere officielle appmarkedspladser. Som Mandrakes historie viser, er årvågenhed og kontinuerlig innovation i sikkerhedspraksis afgørende for at beskytte brugerne mod disse skjulte farer.