Το Mandrake Mobile Malware εφαρμόζει ύπουλες μεθόδους για να ξεγελάσει τους χρήστες

Μετά από περισσότερα από δύο χρόνια απόκρυψης σε κοινή θέα, μια μυστηριώδης οικογένεια κακόβουλου λογισμικού Android, γνωστή ως Mandrake, εμφανίστηκε ξανά στο Google Play. Μεταμφιεσμένη ως νόμιμες εφαρμογές σε κατηγορίες όπως η κοινή χρήση αρχείων, η αστρονομία και τα κρυπτονομίσματα, η Mandrake έχει ιστορικό αποτελεσματικής απόκρυψης των κατασκοπευτικών δραστηριοτήτων της. Αναγνωρίστηκε για πρώτη φορά από την εταιρεία ασφαλείας Bitdefender το 2020, η αναβίωση του Mandrake υπογραμμίζει τις συνεχιζόμενες προκλήσεις στην ασφάλεια κινητών τηλεφώνων.

Η Εξέλιξη του Μανδραγόρα

Οι χειριστές του Mandrake έχουν αποδειχθεί ικανοί να αποφύγουν τον εντοπισμό. Αρχικά ενεργός σε δύο κύματα—2016 έως 2017 και 2018 έως 2020—ο Mandrake χρησιμοποιεί διάφορες εξελιγμένες τακτικές για να παραμείνει απαρατήρητος:

• Γεωγραφική στόχευση : Η Mandrake αποφεύγει να δραστηριοποιείται σε 90 χώρες, συμπεριλαμβανομένων εκείνων της πρώην Σοβιετικής Ένωσης, μειώνοντας τον κίνδυνο εντοπισμού.
• Επιλεκτική στόχευση : Το κακόβουλο λογισμικό παραδίδει το ωφέλιμο φορτίο του μόνο σε πολύ συγκεκριμένους στόχους.
• Μηχανισμός Αυτοκαταστροφής : Το Mandrake διαθέτει έναν διακόπτη kill, που ονομάζεται "seppuku" (μια μορφή ιαπωνικής τελετουργίας αυτοκτονίας), ο οποίος διαγράφει όλα τα ίχνη του κακόβουλου λογισμικού.
• Εφαρμογές Decoy : Οι πλήρως λειτουργικές εφαρμογές δόλωσης σε διάφορες κατηγορίες, όπως οικονομικά, αυτοκίνητα και οχήματα, καθώς και η παραγωγικότητα βοηθούν να συγκαλύψει την πραγματική του πρόθεση.
• Ταχεία απόκριση : Οι προγραμματιστές αντιμετωπίζουν γρήγορα σφάλματα που αναφέρονται στα σχόλια της εφαρμογής για να διατηρήσουν μια πρόσοψη νομιμότητας.
• Καρφίτσωμα πιστοποιητικού TLS : Αυτή η τεχνική αποκρύπτει επικοινωνίες με διακομιστές εντολών και ελέγχου.

Ένα νέο κύμα εισβολής

Μετά την αναφορά του Bitdefender για το 2020, το Mandrake φαινόταν να εξαφανίζεται από το Google Play. Ωστόσο, η εταιρεία ασφαλείας Kaspersky ανέφερε ότι το κακόβουλο λογισμικό επανεμφανίστηκε το 2022, περνώντας απαρατήρητο μέχρι πρόσφατα. Το νέο κύμα εφαρμογών που έχουν μολυνθεί από Mandrake εισήγαγε αρκετά προηγμένα μέτρα για τη βελτίωση της απόκρυψης, την αποφυγή της ανάλυσης sandbox και την παράκαμψη πρόσφατων προστασιών κακόβουλου λογισμικού.

Οι ερευνητές της Kaspersky, Tatyana Shishkova και Igor Golovin τόνισαν τη δυναμική εξέλιξη του Mandrake, σημειώνοντας ότι η τελευταία του καμπάνια παρέμεινε απαρατήρητη για δύο χρόνια ενώ ήταν διαθέσιμη για λήψη στο Google Play. Αυτό δείχνει τις εξελιγμένες δεξιότητες των παραγόντων απειλών και τη συνεχιζόμενη πρόκληση της επιβολής αυστηρότερων ελέγχων εφαρμογών χωρίς ακούσια να επιτραπεί η διαφυγή πιο περίπλοκων απειλών.

Προηγμένες τεχνικές συσκότισης

Ένα βασικό χαρακτηριστικό της τελευταίας γενιάς Mandrake είναι τα πολλαπλά επίπεδα συσκότισης, που έχουν σχεδιαστεί για να εμποδίζουν την ανάλυση και να αποφεύγουν την ανίχνευση:

• Εγγενείς βιβλιοθήκες : Η κακόβουλη λειτουργία έχει μεταφερθεί σε εγγενείς βιβλιοθήκες, καθιστώντας το κακόβουλο λογισμικό πιο δύσκολο να αναλυθεί και να εντοπιστεί.
• OLLVM Obfuscator : Αυτό το εργαλείο θολώνει περαιτέρω την εγγενή βιβλιοθήκη, ενισχύοντας το μυστικό του Mandrake.

Ο πρωταρχικός στόχος του Mandrake είναι να κλέψει τα διαπιστευτήρια χρήστη και να κατεβάσει και να εκτελέσει κακόβουλες εφαρμογές επόμενου σταδίου. Αυτές οι ενέργειες συμβαίνουν μόνο σε λοιμώξεις μεταγενέστερου σταδίου, στοχεύοντας έναν μικρό αριθμό προσεκτικά επιλεγμένων θυμάτων. Μια μέθοδος περιλαμβάνει την εγγραφή της οθόνης ενώ ένα θύμα εισάγει τον κωδικό πρόσβασής του.

Η συνεχιζόμενη μάχη

Η επανεμφάνιση του Mandrake υπογραμμίζει την επίμονη και εξελισσόμενη φύση των απειλών κακόβουλου λογισμικού για κινητά. Παρά τις βελτιώσεις στα μέτρα ασφαλείας και τις διαδικασίες ελέγχου εφαρμογών, οι φορείς απειλών συνεχίζουν να αναπτύσσουν πιο εξελιγμένες μεθόδους για να διεισδύσουν στις επίσημες αγορές εφαρμογών. Όπως δείχνει η ιστορία του Mandrake, η επαγρύπνηση και η συνεχής καινοτομία στις πρακτικές ασφαλείας είναι ζωτικής σημασίας για την προστασία των χρηστών από αυτούς τους κρυφούς κινδύνους.