Mandrake 移动恶意软件采用狡猾手段欺骗用户

在隐匿了两年多之后，一个名为 Mandrake 的神秘 Android 恶意软件家族再次出现在 Google Play 上。Mandrake 伪装成文件共享、天文学和加密货币等类别的合法应用程序，一直有效地隐藏其间谍活动。Mandrake 于 2020 年首次被安全公司 Bitdefender 发现，它的复苏凸显了移动安全领域持续存在的挑战。

曼德拉草的进化

Mandrake 的运营者们已经证明他们擅长逃避检测。Mandrake 最初活跃于 2016 年至 2017 年和 2018 年至 2020 年的两波活动，他们采用了多种复杂的策略来逃避检测：

• 地理定位：Mandrake 避免在包括前苏联国家在内的 90 个国家开展运营，从而降低了被发现的风险。
• 选择性目标：恶意软件仅将其负载传送给高度特定的目标。
• 自毁机制：Mandrake 具有一个名为“切腹” (日本的一种自杀仪式) 的终止开关，可以抹去恶意软件的所有痕迹。
• 诱饵应用程序：金融、汽车和车辆、生产力等各个类别的功能齐全的诱饵应用程序有助于掩盖其真实意图。
• 快速响应：开发人员快速解决应用程序评论中报告的错误，以维护合法性。
• TLS 证书固定：此技术隐藏与命令和控制服务器的通信。

新一轮入侵

在 Bitdefender 发布 2020 年报告后，Mandrake 似乎从 Google Play 上消失了。然而，安全公司卡巴斯基报告称，该恶意软件在 2022 年再次出现，直到最近才被注意到。新一波受 Mandrake 感染的应用程序引入了几种高级措施来增强隐蔽性、逃避沙盒分析并绕过最近的恶意软件保护。

卡巴斯基研究人员 Tatyana Shishkova 和 Igor Golovin 重点介绍了 Mandrake 的动态演变，并指出其最新活动在两年内未被发现，同时可在 Google Play 上下载。这说明了威胁行为者的高超技能以及实施更严格的应用程序控制的持续挑战，同时又不会无意中让更复杂的威胁溜走。

高级混淆技术

最新一代 Mandrake 的一个关键特性是其多层混淆，旨在阻止分析和逃避检测：

• 本机库：恶意功能已移至本机库，使得恶意软件更难分析和检测。
• OLLVM Obfuscator ：该工具进一步混淆了本机库，增强了 Mandrake 的隐身性。

Mandrake 的主要目标是窃取用户凭证并下载和执行下一阶段的恶意应用程序。这些操作只发生在后期感染中，针对少数精心挑选的受害者。一种方法是在受害者输入密码时录制屏幕。

持续的战斗

Mandrake 的再次出现凸显了移动恶意软件威胁的持续性和不断演变性。尽管安全措施和应用程序审查流程有所改进，但威胁行为者仍在继续开发更复杂的方法来渗透官方应用程序市场。正如 Mandrake 的故事所表明的那样，保持警惕并不断创新安全实践对于保护用户免受这些隐患至关重要。