Mandrake Mobile Malware utfører lure metoder for å lure brukere

Etter mer enn to år med gjemt for øyet, har en mystisk familie med Android-skadevare kjent som Mandrake igjen dukket opp på Google Play. Forkledd som legitime apper i kategorier som fildeling, astronomi og kryptovaluta, har Mandrake en historie med å effektivt skjule sine spionaktiviteter. Først identifisert av sikkerhetsfirmaet Bitdefender i 2020, understreker Mandrakes gjenoppblomstring de pågående utfordringene innen mobilsikkerhet.

Utviklingen av Mandrake

Mandrakes operatører har vist seg dyktige til å unngå oppdagelse. Opprinnelig aktiv i to bølger – 2016 til 2017 og 2018 til 2020 – Mandrake bruker flere sofistikerte taktikker for å forbli uoppdaget:

• Geografisk målretting : Mandrake unngår å operere i 90 land, inkludert de i det tidligere Sovjetunionen, noe som reduserer risikoen for oppdagelse.
• Selektiv målretting : Skadevaren leverer kun nyttelasten til svært spesifikke mål.
• Selvdestruksjonsmekanisme : Mandrake har en drepebryter, kalt "seppuku" (en form for japansk rituelt selvmord), som sletter alle spor av skadelig programvare.
• Lokke-apper : Fullt funksjonelle lokke-apper i ulike kategorier som finans, bil og kjøretøy og produktivitet hjelper til med å maskere dens sanne hensikt.
• Rask respons : Utviklere tar raskt tak i feil rapportert i appkommentarer for å opprettholde en fasade av legitimitet.
• TLS-sertifikatfesting : Denne teknikken skjuler kommunikasjon med kommando- og kontrollservere.

En ny bølge av inntrenging

Etter Bitdefenders 2020-rapport, så det ut til at Mandrake forsvant fra Google Play. Sikkerhetsfirmaet Kaspersky har imidlertid rapportert at skadevaren dukket opp igjen i 2022, og gikk ubemerket frem til nylig. Den nye bølgen av Mandrake-infiserte apper introduserte flere avanserte tiltak for å forbedre skjul, unngå sandkasseanalyser og omgå nyere beskyttelse mot skadelig programvare.

Kaspersky-forskerne Tatyana Shishkova og Igor Golovin fremhevet Mandrakes dynamiske utvikling, og la merke til at den siste kampanjen forble uoppdaget i to år mens den var tilgjengelig for nedlasting på Google Play. Dette illustrerer trusselaktørenes sofistikerte ferdigheter og den pågående utfordringen med å håndheve strengere appkontroller uten å utilsiktet la mer sofistikerte trusler slippe gjennom.

Avanserte obfuskasjonsteknikker

Et sentralt trekk ved den siste Mandrake-generasjonen er dens flere lag med tilsløring, designet for å hindre analyser og unngå deteksjon:

• Innfødte biblioteker : Skadelig funksjonalitet har blitt flyttet til innfødte biblioteker, noe som gjør skadelig programvare vanskeligere å analysere og oppdage.
• OLLVM Obfuscator : Dette verktøyet tilslører det opprinnelige biblioteket ytterligere, og forbedrer Mandrakes sniking.

Hovedmålet til Mandrake er å stjele brukerlegitimasjon og laste ned og kjøre ondsinnede applikasjoner i neste trinn. Disse handlingene forekommer bare ved senere infeksjoner, rettet mot et lite antall nøye utvalgte ofre. En metode innebærer å ta opp skjermen mens et offer skriver inn passordet sitt.

Den pågående kampen

Mandrakes gjenoppkomst fremhever den vedvarende og utviklende naturen til mobile malware-trusler. Til tross for forbedringer i sikkerhetstiltak og app-overvåkingsprosesser, fortsetter trusselaktører å utvikle mer sofistikerte metoder for å infiltrere offisielle appmarkedsplasser. Som Mandrakes historie viser, er årvåkenhet og kontinuerlig innovasjon i sikkerhetspraksis avgjørende for å beskytte brukere mot disse skjulte farene.