„Mandrake Mobile“ kenkėjiška programa taiko slaptus metodus, kad apgautų vartotojus

Po daugiau nei dvejų metų slapstymosi akivaizdoje, paslaptinga „Android“ kenkėjiškų programų šeima, žinoma kaip „Mandrake“, vėl atsirado „Google Play“. Užmaskuota kaip teisėtos programėlės tokiose kategorijose kaip failų dalijimasis, astronomija ir kriptovaliuta, „Mandrake“ sėkmingai slepia savo šnipinėjimo veiklą. Pirmą kartą saugos įmonė „Bitdefender“ nustatė 2020 m., „Mandrake“ atgimimas pabrėžia nuolatinius mobiliojo ryšio saugumo iššūkius.

Mandrake evoliucija

„Mandrake“ operatoriai įrodė, kad sugeba išvengti aptikimo. Iš pradžių aktyvus dviem bangomis – 2016–2017 ir 2018–2020 m. – „Mandrake“ taiko kelias sudėtingas taktikas, kad liktų nepastebėtas:

• Geografinis taikymas : „Mandrake“ vengia veikti 90 šalių, įskaitant buvusios Sovietų Sąjungos šalis, todėl sumažėja aptikimo rizika.
• Atrankinis taikymas : kenkėjiška programa pateikia naudingą apkrovą tik labai specifiniams tikslams.
• Savęs naikinimo mechanizmas : „Mandrake“ turi nužudymo jungiklį, pavadintą „seppuku“ (japonų ritualinės savižudybės forma), kuris ištrina visus kenkėjiškos programos pėdsakus.
• Apgaulės programos : visiškai veikiančios įvairių kategorijų, pvz., finansų, automobilių ir transporto priemonių bei produktyvumo, apgaulės programos padeda užmaskuoti tikrąjį jos tikslą.
• Greitas atsakas : kūrėjai greitai pašalina klaidas, apie kurias pranešta programų komentaruose, kad išlaikytų teisėtumą.
• TLS sertifikato prisegimas : ši technika slepia ryšį su komandų ir valdymo serveriais.

Nauja įsibrovimo banga

Po „Bitdefender“ 2020 m. ataskaitos „Mandrake“ dingo iš „Google Play“. Tačiau saugos įmonė „Kaspersky“ pranešė, kad kenkėjiška programa vėl pasirodė 2022 m. ir buvo nepastebėta iki šiol. Naujoji „Mandrake“ užkrėstų programų banga pristatė keletą pažangių priemonių, skirtų pagerinti slėpimą, išvengti smėlio dėžės analizės ir apeiti naujausią apsaugą nuo kenkėjiškų programų.

„Kaspersky“ tyrinėtojai Tatjana Šiškova ir Igoris Golovinas pabrėžė dinamišką „Mandrake“ evoliuciją ir pažymėjo, kad jos naujausia kampanija buvo nepastebėta dvejus metus, kol ją buvo galima atsisiųsti iš „Google Play“. Tai iliustruoja sudėtingus grėsmės veikėjų įgūdžius ir nuolatinį iššūkį užtikrinti griežtesnę programų kontrolę, netyčia neleidžiant praslysti sudėtingesnėms grėsmėms.

Pažangūs užmaskavimo metodai

Pagrindinis naujausios kartos „Mandrake“ bruožas yra keli užtemdymo sluoksniai, skirti sutrukdyti analizei ir išvengti aptikimo:

• Savosios bibliotekos : kenkėjiškos funkcijos buvo perkeltos į savąsias bibliotekas, todėl kenkėjišką programą sunkiau analizuoti ir aptikti.
• OLLVM Obfuscator : šis įrankis dar labiau užtemdo savąją biblioteką, pagerindamas Mandrake slaptumą.

Pagrindinis „Mandrake“ tikslas yra pavogti vartotojo kredencialus ir atsisiųsti bei vykdyti naujos pakopos kenkėjiškas programas. Šie veiksmai pasireiškia tik vėlesnės stadijos infekcijoms, nukreiptoms į nedidelį kruopščiai atrinktų aukų skaičių. Vienas iš būdų apima ekrano įrašymą, kol auka įveda savo prieigos kodą.

Vykstantis mūšis

„Mandrake“ atsiradimas išryškina nuolatinį ir besikeičiantį mobiliųjų kenkėjiškų programų grėsmių pobūdį. Nepaisant patobulintų saugos priemonių ir programų tikrinimo procesų, grėsmių subjektai ir toliau kuria sudėtingesnius metodus, kaip įsiskverbti į oficialias programų prekyvietes. Kaip rodo Mandrake istorija, budrumas ir nuolatinės saugumo praktikos naujovės yra labai svarbūs siekiant apsaugoti vartotojus nuo šių paslėptų pavojų.