کمیته رکن چهارم – محققان امنیتی Bitdefender یک جاسوس افزار جدید و بسیار پیشرفته را شناسایی کرده اند که از طریق Google Apps Market توزیع می شود و کاربران Android را با انگیزه های مالی هدف قرار می دهد. محققان این تهدید را “Mandrake” نامگذاری کرده اند و تخمین می زنند در ۴ ساله گذشته صدها هزار کاربر را آلوده کرده باشد.
نرم افزارهای مخرب پس از آلوده کردن تلفن های اندرویدی کنترل کاملی از آنها به دست می آورند و می توانند عملیات های زیادی از جمله مسدود کردن تماسها یا پیامها، سرقت اعتبارها، انتقال پول و باج گیری انجام دهند. توسعه دهندگان Mandrake هفت برنامه مخرب از جمله “Abfix, CoinCast, SnapTune Vid, Currency XE Converter, Office Scanner, Horoskope و Car News “ را در فروشگاه گوگل منتشر کرده اند.
این نرم افزار مخرب دارای ویژگی هایی است که می تواند با استفاده از آنها در قالب یک برنامه مشروع ظاهر شود و علاقه و اعتماد کاربر را برای قربانی شدن بدست آورد. این ویژگی ها عبارتند از:
” یک میکروسایت اختصاصی ، یک صفحه فیس بوک ، اکانت رسانه های اجتماعی مانند توییتر ، تلگرام یا Reddit و حتی کانال های YouTube ”
در ادامه محققان امنیتی خاطرنشان کردند: “این نرم افزار مخرب علاوه بر ارائه برنامه های کاربردی و قانونی، از تکنیک های مختلف دیگری برای جلوگیری از شناسایی Google Play استفاده می کند. یکی از این تکنیک ها به تاخیر انداختن فعالیت های مخبر خود می باشد.”
در نمونه زیر سه مرحله dropper, loader, core را مشاهده می کنید که دارای ویژگی ها ، نقش ها و پیچیدگی های مختلفی هستند. (Dropper برنامه ای است که قربانی از Google Play نصب می کند)
زنجیره بدافزاری Mandrake
زیر ساخت های مورد نیاز نرم افزار مخرب
Mandrake از سرورهای متعدد کنترل-فرماندهی استفاده می کند. همانطور که در زیر مشاهده می کنید بیشتر آنها طی ۴ سال گذشته کاملا فعال بوده اند. محققین امنیتی یک سرور فعال C2 آندرویدی با آدرس IP “۱۵۹٫۶۹٫۶۶٫۱۸۴” با میزبانی “Hetzner Online GmbH” در آلمان شناسایی کرده اند.
سرورهای ناشناخته C2
برنامه های مخرب میزبانی شده در Google عمدتا برنامه های بانکی هستند که نمونه های آن را در ادامه مشاهده می کنید:
CommBank ، NAB Mobile Banking ، Westpac Mobile Banking ، Bankwest ، Bendigo Bank ، St.George MobileBanking ، ING Australia Banking ، AustralianSuper ، Beyond Bank Australia
این کمپین به همه عناصر یک سیستم عامل با جاسوسی کامل تسلط دارد و به احتمال زیاد حملات آن دارای انگیزه های مالی است. حملات فوق می تواند به راحتی کدهای احراز هویت دو عاملی (۲FA) را دور بزند.
متد این حملات از نوع فیشینگ است طوری که ابتدا برنامه مخرب یک صفحه وب را آپلود می کند و سپس برای بازیابی کلیه داده ها از فرم های ورودی یک کد جاوا اسکریپتی تزریق می کند. در برنامه های مشروع و قانونی که متعلق به این نرم افزار مخرب است، نمایشگر وب وجود دارد و کاربر بدون آگاهی از وجود این فرآیند مخرب به آن اطمینان می کند.
در صورت عدم موفقیت تزریق JavaScript ، صفحه نمایش کاربر رکورد شده و به صورت یک فرمت MP4 در فایل های خصوصی ذخیره می شود و بعداً با یک درخواست پست به لینک http://androidfirmware.top:8888/?r=<victim UID> به سرور C2 ارسال می گردد.
Mandrake کشورهای خاصی را هدف قرار می دهد: استرالیا ، کانادا ، ایالات متحده ، لهستان ، هلند ، آلمان ، اتریش ، ایتالیا ، اسپانیا ، انگلستان ، بلژیک ، برزیل ، چک جمهوری اسلامی و سنگاپور “، علاوه بر این برنامه های کاربردی محبوب جهان را نیز هدف قرار می دهد.
منبع: ایران سایبر
