Złośliwe oprogramowanie Mandrake Mobile stosuje podstępne metody oszukiwania użytkowników

Po ponad dwóch latach ukrywania się na widoku, w Google Play ponownie pojawiła się tajemnicza rodzina złośliwego oprogramowania dla Androida, znanego jako Mandrake. Podszywając się pod legalne aplikacje z takich kategorii, jak udostępnianie plików, astronomia i kryptowaluty, Mandrake ma historię skutecznego ukrywania swojej działalności szpiegowskiej. Odrodzenie się Mandrake, zidentyfikowane po raz pierwszy przez firmę zajmującą się bezpieczeństwem Bitdefender w 2020 r., podkreśla ciągłe wyzwania w zakresie bezpieczeństwa urządzeń mobilnych.

Ewolucja mandragory

Operatorzy Mandrake'a okazali się biegli w unikaniu wykrycia. Początkowo aktywny w dwóch falach — 2016–2017 i 2018–2020 — Mandrake stosuje kilka wyrafinowanych taktyk, aby pozostać niewykrytym:

• Kierowanie geograficzne : Mandrake unika działalności w 90 krajach, w tym w krajach byłego Związku Radzieckiego, co zmniejsza ryzyko wykrycia.
• Celowanie selektywne : złośliwe oprogramowanie dostarcza swój ładunek wyłącznie do bardzo określonych celów.
• Mechanizm samozniszczenia : Mandragora posiada wyłącznik awaryjny zwany „seppuku” (forma japońskiego samobójstwa rytualnego), który usuwa wszelkie ślady złośliwego oprogramowania.
• Aplikacje wabiki : w pełni funkcjonalne aplikacje wabiki z różnych kategorii, takich jak finanse, motoryzacja i pojazdy oraz produktywność, pomagają maskować ich prawdziwe intencje.
• Szybka reakcja : programiści szybko naprawiają błędy zgłaszane w komentarzach do aplikacji, aby zachować fasadę legalności.
• Przypinanie certyfikatu TLS : technika ta ukrywa komunikację z serwerami dowodzenia i kontroli.

Nowa fala włamań

Po raporcie Bitdefendera za rok 2020 wydawało się, że Mandrake zniknął z Google Play. Jednak firma Kaspersky zajmująca się bezpieczeństwem poinformowała, że szkodliwe oprogramowanie pojawiło się ponownie w 2022 roku, pozostając niezauważone do niedawna. Nowa fala aplikacji zainfekowanych Mandrake wprowadziła kilka zaawansowanych środków mających na celu ulepszenie ukrywania, unikanie analizy w piaskownicy i omijanie najnowszych zabezpieczeń przed złośliwym oprogramowaniem.

Badacze z firmy Kaspersky, Tatyana Shishkova i Igor Golovin, zwrócili uwagę na dynamiczną ewolucję Mandrake'a, zauważając, że jego najnowsza kampania pozostawała niewykryta przez dwa lata, dopóki była dostępna do pobrania w Google Play. To ilustruje wyrafinowane umiejętności ugrupowań zagrażających i ciągłe wyzwanie, jakim jest egzekwowanie bardziej rygorystycznych kontroli aplikacji bez niezamierzonego pozwalania na przedostanie się przez nie bardziej wyrafinowanych zagrożeń.

Zaawansowane techniki zaciemniania

Kluczową cechą najnowszej generacji Mandrake jest wiele warstw zaciemniania, zaprojektowanych w celu udaremnienia analizy i uniknięcia wykrycia:

• Biblioteki natywne : złośliwa funkcjonalność została przeniesiona do bibliotek natywnych, co utrudnia analizę i wykrycie złośliwego oprogramowania.
• OLLVM Obfuscator : To narzędzie jeszcze bardziej zaciemnia natywną bibliotekę, zwiększając skuteczność ukrywania się Mandrake'a.

Głównym celem Mandrake'a jest kradzież danych uwierzytelniających użytkownika oraz pobieranie i uruchamianie złośliwych aplikacji kolejnego etapu. Działania te mają miejsce tylko w przypadku infekcji na późniejszym etapie, a ich celem jest niewielka liczba starannie wybranych ofiar. Jedna z metod polega na nagrywaniu ekranu, gdy ofiara wprowadza swoje hasło.

Trwająca bitwa

Ponowne pojawienie się Mandrake'a uwydatnia trwały i ewoluujący charakter zagrożeń mobilnym złośliwym oprogramowaniem. Pomimo ulepszeń środków bezpieczeństwa i procesów weryfikacji aplikacji, ugrupowania zagrażające nadal opracowują bardziej wyrafinowane metody infiltracji oficjalnych rynków aplikacji. Jak pokazuje historia Mandrake'a, czujność i ciągłe innowacje w praktykach bezpieczeństwa mają kluczowe znaczenie dla ochrony użytkowników przed ukrytymi zagrożeniami.