Multi-License Discount Quote
Bedrohungsdatenbank Mobile Malware Mandrake

Mandrake

Von GoldSparrow in Mobile Malware, Spyware
Übersetzen Sie in:
Deutsch

Infosec-Forscher haben eine High-End-Kampagne aufgedeckt, die sich mit einem Tool namens Mandrake an Android-Nutzer in Australien richtet . Natürlich können die Cyberkriminellen hinter dem Hacking-Tool Mandrake ihren Fokus ändern und in zukünftigen Kampagnen Nutzer an einem anderen Standort angreifen. Die Mandrake-Malware tauchte erstmals im Jahr 2016 auf. Seitdem Malware-Analysten die Mandrake-Bedrohung entdeckt haben, veröffentlichen ihre Entwickler regelmäßig Updates. Die Entwickler der Mandrake-Bedrohung haben neue Funktionen hinzugefügt, alte optimiert, unnötige Module entfernt und das Hacking-Tool insgesamt verbessert, um sicherzustellen, dass es sehr wirksam bleibt.

Mandrake sammelt vertrauliche Daten von infizierten Geräten

Die Mandrake-Malware kann problemlos an Tausende und Abertausende von Benutzern verteilt werden . Die Betreiber verfolgen jedoch keinen Massen-Spam-Ansatz. Stattdessen scheinen sie ihre Ziele sorgfältig auszuwählen. Derzeit sind nur etwa 500 Kopien aktiv. Die Mandrake-Bedrohung kann als Spyware eingestuft werden und es scheint, dass ihre Autoren sie nur auf Zielen einsetzen, die seit einiger Zeit überwacht werden .

Wenn die Mandrake-Spyware Ihr Android-Gerät kompromittiert, kann sie eine Vielzahl von Aufgaben ausführen. Da die Mandrake-Bedrohung als Spyware eingestuft wird , besteht ihr Ziel darin, wichtige Informationen von den Zielhosts zu sammeln. Es ist wahrscheinlich, dass die Mandrake-Spyware ihren Betreibern ermöglicht, Zugriff auf die Benutzer zu erhalten:

  • Anmeldedaten.
  • Kontaktliste.
  • In ihrer Galerie gespeicherte Bilder und Videos .
  • Bankkonto Information.
  • Zahlungsdetails.
  • Persönliche Gespräche

    • Angesichts der großen Menge an Informationen, die die Mandrake-Spyware sammelt, ist es wahrscheinlich, dass ihre Betreiber sie sowohl für Erpressungsmanöver als auch für Finanzbetrugskampagnen verwenden.

    Da jeder Zielbenutzer von den Angreifern anders angegangen zu werden scheint, ist es wahrscheinlich, dass die Opfer sehr sorgfältig ausgewählt werden. Es ist wahrscheinlich, dass die Mandrake-Kampagne von einer hochqualifizierten und sehr erfahrenen Gruppe von Cyberkriminellen durchgeführt wird , die genau wissen, was sie tun. Stellen Sie sicher, dass Ihr Android-Gerät durch eine echte, seriöse Antivirenanwendung geschützt ist.

    Die weiterentwickelte mobile Malware Mandrake zielt auf Android-Benutzer ab

    Eine neue Version der hochentwickelten Android-Spyware Mandrake wurde in fünf Anwendungen im Google Play Store entdeckt. Diese Spyware konnte zwei Jahre lang unentdeckt bleiben .

    Heimliche Infiltration: Die Apps und ihre Reichweite

    Die fünf infizierten Anwendungen wurden mehr als 32.000 Mal heruntergeladen, bevor sie aus dem Google Play Store entfernt wurden. Die meisten dieser Downloads stammten aus Ländern wie Kanada, Deutschland, Italien, Mexiko, Spanien, Peru und Großbritannien.

    Fortgeschrittene Ausweichtaktiken

    Die neuen Samples von Mandrake wiesen fortschrittliche Verschleierungs- und Umgehungstechniken auf:

    • Verschieben bösartiger Funktionen in verschleierte native Bibliotheken
    • Verwenden von Certificate Pinning für sichere Command-and-Control-Kommunikation (C2)
  • Durchführen zahlreicher Tests, um festzustellen, ob die Malware auf einem gerooteten Gerät oder in einer emulierten Umgebung ausgeführt wurde

    • Anti-Analyse-Techniken

    Die aktualisierten Varianten von Mandrake nutzten OLLVM (Obfuscation LLVM), um ihre Hauptfunktionalität zu verbergen . Darüber hinaus integrierten sie verschiedene Sandbox-Umgehungs- und Anti-Analyse-Techniken, um eine Erkennung durch Malware-Analysten zu verhindern.

    Die infizierten Anwendungen

    Die fünf Anwendungen, die Mandrake-Spyware enthalten, sind:

    AirFS (com.airft.ftrnsfr)

    Amber (kom. shrp . sght )

    Astro Explorer (com.astro.dscvr)

    Brain Matrix (com. brnmth . mtrx )

    CryptoPulsing (com. cryptopulsing .browser)

    Mehrstufiger Infektionsprozess

    Stufe Eins: Der Dropper

    Die Erstinfektion beginnt mit einem Dropper, der einen Loader startet. Dieser Loader führt die Kernkomponente der Malware aus, nachdem er sie von einem C2-Server heruntergeladen und entschlüsselt hat .

    Phase zwei: Informationsbeschaffung

    Die Nutzlast der zweiten Stufe sammelt Informationen über das Gerät, darunter:

    • Verbindungsstatus
    • Installierte Anwendungen
    • Batterieprozentsatz
    • Externe IP-Adresse
    • Aktuelle Google Play-Version

    Darüber hinaus kann es das Kernmodul löschen und Berechtigungen zum Zeichnen von Overlays und zur Ausführung im Hintergrund anfordern.

    Phase Drei: Diebstahl von Anmeldeinformationen und mehr

    Die dritte Stufe unterstützt zusätzliche Befehle wie:
    Laden einer bestimmten URL in einer WebView

    Eine Remote-Bildschirmfreigabesitzung einleiten

    Aufzeichnen des Gerätebildschirms, um Anmeldeinformationen zu stehlen und weitere Malware zu verbreiten

    Umgehen der „Eingeschränkten Einstellungen“ von Android 13

    Mandrake verwendet ein sitzungsbasiertes Paketinstallationsprogramm, um die Funktion „Eingeschränkte Einstellungen“ von Android 13 zu umgehen, die verhindert, dass seitlich geladene Anwendungen direkt unsichere Berechtigungen anfordern.

    Fazit: Eine sich ständig weiterentwickelnde Bedrohung

    Forscher beschreiben Mandrake als eine sich dynamisch entwickelnde Bedrohung, die ihre Techniken ständig verfeinert, um Abwehrmechanismen zu umgehen und der Entdeckung zu entgehen. Dies zeigt die enormen Fähigkeiten der Bedrohungsakteure und unterstreicht die Notwendigkeit strengerer Kontrollen für Anwendungen, bevor sie auf offiziellen App-Marktplätzen veröffentlicht werden .

Im Trend

Am häufigsten gesehen

Wird geladen...