Mandrake 行動惡意軟體採用偷偷摸摸的方法來欺騙用戶

在隱藏了兩年多之後，一個名為 Mandrake 的神秘 Android 惡意軟體家族再次出現在 Google Play 上。 Mandrake 偽裝成文件共享、天文學和加密貨幣等類別的合法應用程序，有著有效隱藏其間諜活動的歷史。 Mandrake 於 2020 年首次被安全公司 Bitdefender 發現，它的復興凸顯了行動安全領域持續面臨的挑戰。

曼德拉草的演化

Mandrake 的操作員已被證明善於逃避檢測。 Mandrake 最初活躍於 2016 年至 2017 年和 2018 年至 2020 年的兩波浪潮中，採用了多種複雜的策略來保持不被發現：

• 地理定位：Mandrake 避免在 90 個國家（包括前蘇聯國家）開展業務，從而降低被發現的風險。
• 選擇性目標：惡意軟體僅將其有效負載傳遞給高度特定的目標。
• 自毀機制：Mandrake 具有一個名為「seppuku」（日本自殺儀式的一種形式）的終止開關，可以消除惡意軟體的所有痕跡。
• 誘餌應用程式：金融、汽車和生產力等各種類別的功能齊全的誘餌應用程式有助於掩蓋其真實意圖。
• 快速回應：開發人員快速解決應用程式評論中報告的錯誤，以維持合法性的外觀。
• TLS 憑證鎖定：此技術隱藏與命令和控制伺服器的通訊。

新一波入侵

在 Bitdefender 發布 2020 年報告後，Mandrake 似乎從 Google Play 中消失了。然而，安全公司卡巴斯基報告稱，該惡意軟體在 2022 年再次出現，直到最近才引起人們的注意。新一波受 Mandrake 感染的應用程式引入了多種先進措施來增強隱蔽性、逃避沙箱分析並繞過最新的惡意軟體防護。

卡巴斯基研究人員 Tatyana Shishkova 和 Igor Golovin 強調了 Mandrake 的動態演變，指出其最新的攻擊活動在 Google Play 上提供下載的同時，在兩年內一直未被發現。這說明了威脅行為者的複雜技能以及執行更嚴格的應用程式控製而不會無意中讓更複雜的威脅溜走的持續挑戰。

進階混淆技術

最新一代 Mandrake 的一個關鍵特徵是其多層混淆，旨在阻止分析和逃避檢測：

• 本機庫：惡意功能已移至本機庫，使惡意軟體更難分析和偵測。
• OLLVM Obfuscator ：此工具進一步混淆本機函式庫，增強 Mandrake 的隱密性。

Mandrake 的主要目標是竊取使用者憑證並下載和執行下一階段的惡意應用程式。這些行動僅發生在感染後期，針對的是少數精心挑選的受害者。一種方法是在受害者輸入密碼時錄製螢幕。

持續的戰鬥

Mandrake 的重新出現凸顯了行動惡意軟體威脅的持續性和不斷發展的性質。儘管安全措施和應用程式審查流程有所改進，威脅行為者仍在繼續開發更複雜的方法來滲透官方應用程式市場。正如 Mandrake 的故事所表明的那樣，安全實踐中的警覺性和持續創新對於保護使用者免受這些隱患至關重要。