Mandrake: tragedia w trzech aktach. Nieuchwytny malware zainfekował setki tysięc

Analitycy Bitdefendera poinformowali o wykryciu malware’u atakującego smartfony z Androidem. Złośliwe oprogramowanie w ciągu kilku lat zainfekowało dziesiątki tysięcy terminali.

Bitdefender zidentyfikował na początku 2020 roku platformę szpiegowską, która działała niezauważona od czterech lat. Odkrywcy nadali jej nazwę Mandrake (w języku polskim Mandragora) - trującej rośliny, owianej tajemnicą i złą sławą. Hakerzy za pośrednictwem złośliwych aplikacji, umieszczanych w Google Play, przejmują całkowitą kontrolę nad urządzeniem ofiary. Malware wykrada hasła i loginy do kont, w tym również bankowych, rejestruje obrazy z ekranu oraz śledzi lokalizację użytkownika.

Bitdefender przyznaje, że jest to bardzo starannie przygotowana i doskonale zarządzana akcja hakerska. Przestępcy umiejętnie zacierają ślady swojej działalności oraz ograniczają zasięg działania. Mandrake unika krajów o niskich dochodach, stąd nie występuje m.in w Afryce i byłych republikach Związku Radzieckiego. Natomiast zaobserwowano go w Australii, Europie oraz obu Amerykach. Bitdefender zauważa, iż cyberprzestępcy przeprowadzali akcje phishingowe wymierzone przeciwko użytkownikom aplikacji związanych z finansami i zakupami. To jeden ze sposobów, który miał zachęcać potencjalne ofiary do pobrania aplikacji. Na liście zaatakowanych instytucji znalazły się m.in mBank oraz Plus Bank.

• Celem grupy przestępczej stojącej za tym malwarem jest całkowite przejęcie kontroli nad smartfonem ofiary oraz jej tożsamością. To jeden z najgroźniejszych wirusów atakujących urządzenia z Androidem z jakimi do tej pory mieliśmy do czynienia. Szacujemy, że w ostatnich kilku miesiącach mógł zainfekować dziesiątki tysięcy terminali, a w ciągu czterech lat jego ofiarą padły setki tysięcy użytkowników - tłumaczy Bogdan Botezatu, dyrektor ds. badań i raportowania zagrożeń w Bitdefender.

Hakerzy posługujący się tym złośliwym oprogramowaniem włożyli wiele wysiłku, aby pozostać w cieniu. Grupa przestępcza zamieszczała złośliwe aplikacje w Google Play. Bitdefender odnalazł siedem takich programów, które obejmowały różne kategorie: finanse, motoryzacja, odtwarzacze wideo czy edytory tekstu. W przeciwieństwie do innych złośliwych programów wykrywanych w sklepie Google Play, operatorzy Mandrake reagowali na negatywne recenzje i dostarczali poprawki rozwiązujące problemy zgłaszane przez użytkowników. Co więcej, niektóre aplikacje miały swoje własne strony internetowe i  konta w mediach społecznościowych. Cyberprzestępcy przyjęli też specjalną strategię, dzięki której malware nie jest wykrywany przez Google Play. Cały proces składa się z trzech etapów. W pierwszej fazie użytkownik urządzenia z Androidem ściąga z platformy poprawnie działającą aplikację. Następnie kontaktuje się ona z serwerem należącym do napastników i pobiera moduł ładujący złośliwy kod. W trzeciej części hakerzy przystępują do szpiegowania urządzenia. Warto dodać, że kiedy napastnicy uzyskają potrzebne informacje, uruchamiają komendę „seppuku” zacierającą ślady po złośliwym oprogramowaniu. Mandrake wykorzystuje zaawansowane techniki manipulacji. Komunikat pojawiający się na ekranie smartfona bądź tabletu jest postrzegany przez użytkownika jako zwykły formularz do akceptacji umowy licencyjnej. W rzeczywistości zawiera całą serię żądań i uprawnień przyznawanych hakerowi.

Wprawdzie aplikacje Currency XE Converter, Office Scanner, Horoskope czy Car News zniknęły z platformy Google Play, ale badacze z Bitdefendera nie mają złudzeń, że kampania Mandrake może powrócić w każdej chwili. Osoby stojące za tymi atakami prawdopodobnie podejmą kolejną próbę dystrybucji nowych złośliwych programów.

Źródło: bitdefender.pl, marken.com.pl