Ένα νέο, ιδιαίτερα εξελιγμένο spyware, που στοχεύει χρήστες Android με σκοπό το οικονομικό όφελος, ανακαλύφθηκε από τους ερευνητές ασφαλείας της Bitdefender. Το εν λόγω spyware φαίνεται ότι διανέμεται μέσω του Google Apps Market.
Το λογισμικό κατασκοπείας ονομάστηκε «Mandrake» και όπως ανακάλυψαν οι ερευνητές, μολύνει τις συσκευές χρηστών Android τα τελευταία 4 χρόνια. Υπολογίζεται ότι εκατοντάδες χιλιάδες χρήστες έχουν πέσει θύματά του όλον αυτό τον καιρό.
Μόλις το κακόβουλο λογισμικό μολύνει μία συσκευή, παίρνει ολοκληρωτικά τον έλεγχό της και μπορεί να αποκλείσει κλήσεις ή μηνύματα, να εξάγει πληροφορίες, να κλέψει διαπιστευτήρια, να μεταφέρει χρήματα και να εκβιάζει τον ιδιοκτήτη της.
Κι άλλες κακόβουλες εφαρμογές στο Google Play
Εκτός από το Mandrake, οι δημιουργοί του δημοσίευσαν επτά ακόμα κακόβουλες εφαρμογές στο Google Play: “Abfix, CoinCast, SnapTune Vid, Currency XE Converter, Office Scanner, Horoskope και Car News”.
Προκειμένου να φαίνονται έγκυρες, οι εφαρμογές αυτές διαθέτουν ένα ειδικό microsite, μια σελίδα Facebook, λογαριασμούς κοινωνικών μέσων όπως το Twitter, το Telegram ή το Reddit και ακόμη και κανάλια στο YouTube για να κερδίσουν το ενδιαφέρον και την εμπιστοσύνη του χρήστη.
Σύμφωνα με τους ερευνητές, «εκτός από την τοποθέτησή τους ως νόμιμες εφαρμογές, χρησιμοποιούν επιπλέον τεχνικές για να αποφύγουν την προστασία του Google Play: καθυστερούν πολύ την κακόβουλη δραστηριότητα και εργάζονται σταδιακά. Δεν μπορεί κανείς να προβλέψει πότε θα λάβουν το loader και τα βασικά στοιχεία, τα οποία θα κατέβουν κάποια στιγμή, όταν ο εισβολέας δώσει την εντολή (ή πιθανόν και ποτέ).»
Το Mandrake χρησιμοποίησε αρκετούς hardcoded Command and Control servers, οι περισσότεροι από τους οποίους ήταν ενεργοί εδώ και 4 χρόνια. Ένας ερευνητής, εντόπισε έναν από τους ενεργούς διακομιστές C2 androidfirmware (.), που σχετίζεται με τη διεύθυνση IP “159.69.66.184” και τη φιλοξενία που του παρέχεται από το “Hetzner Online GmbH” στη Γερμανία.
Οι κύριοι στόχοι των κακόβουλων εφαρμογών, είναι τραπεζικές εφαρμογές όπως οι CommBank, NAB Mobile Banking, Westpac Mobile Banking, Bankwest, Bendigo Bank, St.George MobileBanking, ING Australia Banking, AustralianSuper, Beyond Bank Australia.
Αυτή η εκστρατεία κυριαρχεί σε όλα τα στοιχεία μιας επαγγελματικής πλατφόρμας spyware και έχει πιθανότατα οικονομικά κίνητρα. Μπορεί εύκολα να σπάσει τους κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA) που χρησιμοποιούν ορισμένες τράπεζες για την αποφυγή απάτης.
Ως εφεδρικό μέτρο σε περίπτωση αποτυχίας του JavaScript injection, γίνεται επίσης καταγραφή της οθόνης και η εγγραφή MP4 αποθηκεύεται ως <timestamp> .dat στα ιδιωτικά αρχεία dir και αποστέλλεται αργότερα στον C2 server με αίτημα ανάρτησης στη διεύθυνση URL http: / /androidfirmware.top:8888/?r=<victim UID>.
Το Mandrake στοχεύει συγκεκριμένες χώρες: Αυστραλία, Καναδά, Ηνωμένες Πολιτείες, Πολωνία, Ολλανδία, Γερμανία, Αυστρία, Ιταλία, Ισπανία, Ηνωμένο Βασίλειο, Βέλγιο, Βραζιλία, Τσεχία και Σιγκαπούρη, εκτός φυσικά από τη στόχευση δημοφιλών εφαρμογών παγκοσμίως.
