Die mobile Malware Mandrake wendet hinterhältige Methoden an, um Benutzer auszutricksen

Nach mehr als zwei Jahren im Verborgenen ist eine mysteriöse Android-Malware-Familie namens Mandrake erneut im Google Play Store aufgetaucht. Getarnt als legitime Apps in Kategorien wie Filesharing, Astronomie und Kryptowährung hat Mandrake seine Spionageaktivitäten in der Vergangenheit erfolgreich verschleiert. Das Wiederauftauchen von Mandrake, das erstmals 2020 vom Sicherheitsunternehmen Bitdefender entdeckt wurde, unterstreicht die anhaltenden Herausforderungen im Bereich der mobilen Sicherheit.

Die Evolution der Mandrake

Die Betreiber von Mandrake haben sich als geschickt darin erwiesen, der Entdeckung zu entgehen. Zunächst war Mandrake in zwei Wellen aktiv – 2016 bis 2017 und 2018 bis 2020 – und setzt mehrere ausgeklügelte Taktiken ein, um unentdeckt zu bleiben:

• Geografisches Targeting : Mandrake vermeidet den Einsatz in 90 Ländern, darunter auch den Ländern der ehemaligen Sowjetunion, und verringert so das Risiko einer Entdeckung.
• Selektives Targeting : Die Schadsoftware liefert ihre Nutzlast nur an ganz bestimmte Ziele.
• Selbstzerstörungsmechanismus : Mandrake verfügt über einen Kill Switch namens „Seppuku“ (eine Form des japanischen rituellen Selbstmords), der alle Spuren der Schadsoftware löscht.
• Lockvogel-Apps : Voll funktionsfähige Lockvogel-Apps in verschiedenen Kategorien wie Finanzen, Autos und Fahrzeuge sowie Produktivität helfen dabei, ihre wahren Absichten zu verschleiern.
• Schnelle Reaktion : Entwickler beheben in App-Kommentaren gemeldete Fehler umgehend, um den Anschein von Legitimität zu wahren.
• TLS-Zertifikat-Pinning : Diese Technik verbirgt die Kommunikation mit Befehls- und Kontrollservern.

Eine neue Einbruchswelle

Nach dem Bericht von Bitdefender für 2020 schien Mandrake aus Google Play zu verschwinden. Das Sicherheitsunternehmen Kaspersky berichtete jedoch, dass die Malware 2022 wieder auftauchte und bis vor kurzem unbemerkt blieb. Die neue Welle von mit Mandrake infizierten Apps führte mehrere fortschrittliche Maßnahmen ein, um die Verschleierung zu verbessern, Sandbox-Analysen zu umgehen und aktuelle Malware-Schutzmaßnahmen zu umgehen.

Die Kaspersky-Forscher Tatyana Shishkova und Igor Golovin hoben die dynamische Entwicklung von Mandrake hervor und stellten fest, dass die neueste Kampagne zwei Jahre lang unentdeckt blieb, während sie auf Google Play zum Download verfügbar war. Dies verdeutlicht die ausgefeilten Fähigkeiten der Bedrohungsakteure und die anhaltende Herausforderung, strengere App-Kontrollen durchzusetzen, ohne versehentlich raffiniertere Bedrohungen durchzulassen.

Fortgeschrittene Verschleierungstechniken

Ein wesentliches Merkmal der neuesten Mandrake-Generation sind die vielen Verschleierungsebenen, die Analysen erschweren und einer Erkennung entgehen sollen:

• Native Bibliotheken : Schädliche Funktionen wurden in native Bibliotheken verschoben, wodurch die Analyse und Erkennung der Malware schwieriger wird.
• OLLVM Obfuscator : Dieses Tool verschleiert die native Bibliothek weiter und verbessert die Tarnung von Mandrake.

Das Hauptziel von Mandrake besteht darin, Benutzeranmeldeinformationen zu stehlen und bösartige Anwendungen der nächsten Stufe herunterzuladen und auszuführen. Diese Aktionen treten nur bei Infektionen im späteren Stadium auf und zielen auf eine kleine Anzahl sorgfältig ausgewählter Opfer ab. Eine Methode besteht darin, den Bildschirm aufzuzeichnen, während ein Opfer seinen Passcode eingibt.

Der andauernde Kampf

Das Wiederauftauchen von Mandrake unterstreicht die anhaltende und sich weiterentwickelnde Natur mobiler Malware-Bedrohungen. Trotz Verbesserungen bei Sicherheitsmaßnahmen und App-Überprüfungsprozessen entwickeln Bedrohungsakteure weiterhin ausgefeiltere Methoden, um offizielle App-Marktplätze zu infiltrieren. Wie die Geschichte von Mandrake zeigt, sind Wachsamkeit und kontinuierliche Innovation bei Sicherheitspraktiken entscheidend, um Benutzer vor diesen versteckten Gefahren zu schützen.