Вредоносное ПО Mandrake Mobile использует хитрые методы обмана пользователей

После более чем двух лет скрытия на виду загадочное семейство вредоносных программ для Android, известное как Mandrake, снова появилось в Google Play. Под видом законных приложений в таких категориях, как обмен файлами, астрономия и криптовалюта, Mandrake имеет опыт эффективного сокрытия своей шпионской деятельности. Возрождение Mandrake, впервые выявленное охранной фирмой Bitdefender в 2020 году, подчеркивает текущие проблемы в области мобильной безопасности.

Эволюция мандрагоры

Операторы «Мандрейка» доказали свою способность уклоняться от обнаружения. Первоначально действуя двумя волнами — с 2016 по 2017 год и с 2018 по 2020 год — Mandrake использует несколько сложных тактик, чтобы оставаться незамеченными:

• Географический таргетинг : Mandrake избегает деятельности в 90 странах, включая страны бывшего Советского Союза, что снижает риск обнаружения.
• Выборочный таргетинг . Вредоносное ПО доставляет свою полезную нагрузку только строго конкретным целям.
• Механизм самоуничтожения : Mandrake оснащен аварийным выключателем под названием «сеппуку» (форма японского ритуального самоубийства), который стирает все следы вредоносного ПО.
• Приложения-приманки : полнофункциональные приложения-приманки в различных категориях, таких как финансы, автомобили и транспортные средства, а также производительность, помогают замаскировать их истинные намерения.
• Быстрое реагирование . Разработчики быстро устраняют ошибки, о которых сообщается в комментариях к приложениям, чтобы сохранить видимость легитимности.
• Закрепление сертификата TLS . Этот метод скрывает связь с серверами управления и контроля.

Новая волна вторжения

После отчета Bitdefender за 2020 год Mandrake, похоже, исчезла из Google Play. Однако охранная фирма «Касперский» сообщила, что вредоносное ПО снова появилось в 2022 году, оставаясь незамеченным до недавнего времени. Новая волна приложений, зараженных Mandrake, представила несколько продвинутых мер для улучшения сокрытия, уклонения от анализа в «песочнице» и обхода последних средств защиты от вредоносных программ.

Исследователи «Лаборатории Касперского» Татьяна Шишкова и Игорь Головин подчеркнули динамичное развитие Mandrake, отметив, что ее последняя кампания оставалась незамеченной в течение двух лет, хотя была доступна для скачивания в Google Play. Это иллюстрирует сложные навыки злоумышленников и постоянную проблему обеспечения более строгого контроля над приложениями, не позволяя случайно проскользнуть более сложным угрозам.

Передовые методы обфускации

Ключевой особенностью последнего поколения Mandrake являются многочисленные уровни запутывания, призванные помешать анализу и избежать обнаружения:

• Собственные библиотеки . Вредоносные функции были перенесены в собственные библиотеки, что усложнило анализ и обнаружение вредоносного ПО.
• OLLVM Obfuscator : этот инструмент еще больше запутывает встроенную библиотеку, повышая скрытность Mandrake.

Основная цель Mandrake — украсть учетные данные пользователей, а также загрузить и запустить вредоносные приложения следующей стадии. Эти действия происходят только на поздних стадиях заражения и нацелены на небольшое количество тщательно отобранных жертв. Один из методов предполагает запись экрана, пока жертва вводит свой пароль.

Продолжающаяся битва

Возрождение Mandrake подчеркивает постоянный и развивающийся характер мобильных вредоносных угроз. Несмотря на улучшения в мерах безопасности и процессах проверки приложений, злоумышленники продолжают разрабатывать более сложные методы проникновения на официальные рынки приложений. Как показывает история Mandrake, бдительность и постоянные инновации в методах обеспечения безопасности имеют решающее значение для защиты пользователей от этих скрытых опасностей.