Mandrake Mobile Malware utför lömska metoder för att lura användare

Efter mer än två år av gömd i klarsynt har en mystisk familj av Android-skadlig programvara känd som Mandrake återigen dykt upp på Google Play. Förklädd som legitima appar i kategorier som fildelning, astronomi och kryptovaluta, har Mandrake en historia av att effektivt dölja sina spionaktiviteter. Mandrakes återkomst, som först identifierades av säkerhetsföretaget Bitdefender 2020, understryker de pågående utmaningarna inom mobil säkerhet.

Evolutionen av Mandrake

Mandrakes operatörer har visat sig vara skickliga på att undvika upptäckt. Initialt aktiv i två vågor – 2016 till 2017 och 2018 till 2020 – Mandrake använder flera sofistikerade taktiker för att förbli oupptäckt:

• Geografisk inriktning : Mandrake undviker att verka i 90 länder, inklusive de i fd Sovjetunionen, vilket minskar risken för upptäckt.
• Selektiv inriktning : Skadlig programvara levererar sin nyttolast endast till mycket specifika mål.
• Self-Destruction Mechanism : Mandrake har en kill switch, som heter "seppuku" (en form av japanskt rituellt självmord), som raderar alla spår av skadlig programvara.
• Lockappar : Fullt fungerande lockbetsappar i olika kategorier som ekonomi, bilar och fordon och produktivitet hjälper till att maskera dess verkliga avsikt.
• Snabbt svar : Utvecklare åtgärdar snabbt buggar som rapporterats i appkommentarer för att upprätthålla en fasad av legitimitet.
• TLS-certifikatfästning : Denna teknik döljer kommunikation med kommando- och kontrollservrar.

En ny våg av intrång

Efter Bitdefenders rapport 2020 verkade Mandrake försvinna från Google Play. Säkerhetsföretaget Kaspersky har dock rapporterat att den skadliga programvaran dök upp igen 2022, och gick obemärkt förrän nyligen. Den nya vågen av Mandrake-infekterade appar introducerade flera avancerade åtgärder för att förbättra döljandet, undvika sandlådeanalys och kringgå de senaste skydden mot skadlig programvara.

Kaspersky-forskarna Tatyana Shishkova och Igor Golovin lyfte fram Mandrakes dynamiska utveckling och noterade att dess senaste kampanj förblev oupptäckt i två år medan den var tillgänglig för nedladdning på Google Play. Detta illustrerar hotaktörernas sofistikerade färdigheter och den pågående utmaningen att genomdriva strängare appkontroller utan att oavsiktligt låta mer sofistikerade hot glida igenom.

Avancerade obfuskeringstekniker

En nyckelfunktion i den senaste Mandrake-generationen är dess flera lager av fördunkling, designade för att omintetgöra analys och undvika upptäckt:

• Inbyggda bibliotek : Skadlig funktionalitet har flyttats till inbyggda bibliotek, vilket gör skadlig programvara svårare att analysera och upptäcka.
• OLLVM Obfuscator : Det här verktyget fördunklar ytterligare det ursprungliga biblioteket, vilket förbättrar Mandrakes smygande.

Det primära målet med Mandrake är att stjäla användaruppgifter och ladda ner och köra skadliga applikationer i nästa steg. Dessa åtgärder inträffar endast i senare skede av infektioner och riktar sig till ett litet antal noggrant utvalda offer. En metod innebär att spela in skärmen medan ett offer anger sitt lösenord.

Den pågående striden

Mandrakes återuppkomst belyser den ihållande och utvecklande karaktären hos mobila skadliga hot. Trots förbättringar av säkerhetsåtgärder och processer för appkontroll fortsätter hotaktörer att utveckla mer sofistikerade metoder för att infiltrera officiella appmarknadsplatser. Som Mandrakes berättelse visar, är vaksamhet och kontinuerlig innovation i säkerhetspraxis avgörande för att skydda användare från dessa dolda faror.