A Mandrake Mobile Malware alattomos módszereket alkalmaz a felhasználók átverésére

Több mint két évnyi rejtőzködés után ismét felbukkant a Mandrake néven ismert androidos kártevők titokzatos családja a Google Playen. Az olyan kategóriákban, mint a fájlmegosztás, csillagászat és kriptovaluta, legitim alkalmazásoknak álcázott Mandrake története során hatékonyan titkolta kémtevékenységét. A Bitdefender biztonsági cég azonosította először 2020-ban, és a Mandrake újjáéledése rávilágít a mobilbiztonság terén fennálló folyamatos kihívásokra.

A Mandrake evolúciója

A Mandrake kezelői ügyesnek bizonyultak az észlelés elkerülésében. A kezdetben két hullámban – 2016 és 2017 és 2018 és 2020 között – aktív Mandrake számos kifinomult taktikát alkalmaz, hogy észrevétlen maradjon:

• Földrajzi célzás : A Mandrake elkerüli, hogy 90 országban működjön, beleértve a volt Szovjetunió országait is, csökkentve ezzel az észlelés kockázatát.
• Szelektív célzás : A rosszindulatú program csak nagyon specifikus célpontokhoz juttatja el hasznos terhét.
• Önmegsemmisítő mechanizmus : A Mandrake rendelkezik egy „seppuku” (a japán rituális öngyilkosság egyik formája) elnevezésű kill kapcsolóval, amely eltünteti a kártevő minden nyomát.
• Csalialkalmazások : Teljesen működőképes csali alkalmazások különböző kategóriákban, például pénzügyekben, autókban és járművekben, valamint a termelékenységben, segítenek elfedni valódi szándékukat.
• Gyors válasz : A fejlesztők gyorsan kezelik az alkalmazáshoz fűzött megjegyzésekben jelentett hibákat, hogy megőrizzék a legitimitás homlokzatát.
• TLS-tanúsítvány rögzítése : Ez a technika elrejti a kommunikációt a parancs- és vezérlőkiszolgálókkal.

A behatolás új hulláma

A Bitdefender 2020-as jelentését követően úgy tűnt, hogy a Mandrake eltűnt a Google Playről. A Kaspersky biztonsági cég azonban arról számolt be, hogy a rosszindulatú program 2022-ben újra megjelent, és egészen a közelmúltig észrevétlen maradt. A Mandrake-fertőzött alkalmazások új hulláma számos fejlett intézkedést vezetett be az elrejtés javítása, a sandbox elemzés elkerülése és a legutóbbi rosszindulatú programok megkerülése érdekében.

A Kaspersky kutatói, Tatyana Shishkova és Igor Golovin kiemelték a Mandrake dinamikus fejlődését, megjegyezve, hogy a legutóbbi kampánya két évig észrevétlen maradt, miközben letölthető volt a Google Playen. Ez jól szemlélteti a fenyegetések szereplőinek kifinomult készségeit és azt a folyamatos kihívást, hogy szigorúbb alkalmazásellenőrzéseket hajtsanak végre anélkül, hogy véletlenül átsuhannának a kifinomultabb fenyegetések.

Fejlett obfuszkációs technikák

A legújabb Mandrake-generáció kulcsfontosságú jellemzője a többrétegű homályosítás, amelyet az elemzés meghiúsítására és az észlelés elkerülésére terveztek:

• Natív könyvtárak : A rosszindulatú funkciókat áthelyezték a natív könyvtárakba, ami megnehezíti a rosszindulatú program elemzését és észlelését.
• OLLVM Obfuscator : Ez az eszköz tovább homályosítja a natív könyvtárat, javítva a Mandrake lopakodó képességét.

A Mandrake elsődleges célja a felhasználói hitelesítő adatok ellopása, valamint a következő szintű rosszindulatú alkalmazások letöltése és végrehajtása. Ezek az akciók csak későbbi stádiumú fertőzéseknél fordulnak elő, és kis számú, gondosan kiválasztott áldozatot céloznak meg. Az egyik módszer a képernyő rögzítése, miközben az áldozat beírja a jelszót.

A folyamatban lévő csata

A Mandrake újbóli megjelenése rávilágít a mobil malware fenyegetések tartós és folyamatosan fejlődő természetére. A biztonsági intézkedések és az alkalmazás-ellenőrzési folyamatok javulása ellenére a fenyegetés szereplői továbbra is kifinomultabb módszereket fejlesztenek ki a hivatalos alkalmazáspiacok beszivárgására. Amint azt Mandrake története is mutatja, az éberség és a biztonsági gyakorlatok folyamatos innovációja kulcsfontosságú a felhasználók e rejtett veszélyek elleni védelmében.