Các ứng dụng này đã thu hút tổng cộng hơn 32.000 lượt cài đặt trước khi bị gỡ khỏi Store. Phần lớn các lượt tải xuống đến từ Canada, Đức, Ý, Mexico, Tây Ban Nha, Peru và Vương quốc Anh.
Chiến lược che giấu và né tránh tinh vi
Các mẫu mới bao gồm các lớp che giấu và kỹ thuật né tránh mới, như chuyển chức năng độc hại sang thư viện native bị che giấu, sử dụng chứng thực pinning cho giao tiếp C2, và thực hiện một loạt các kiểm tra để xác định xem Mandrake có đang chạy trên thiết bị đã root hoặc trong môi trường mô phỏng hay không.
Mandrake lần đầu tiên được nhà cung cấp bảo mật mạng của Romania ghi nhận vào Tháng 5/2020, mô tả cách tiếp cận có chủ đích của nó để lây nhiễm một số thiết bị trong khi quản lý để ẩn nấp trong bóng tối kể từ năm 2016.
Các biến thể cập nhật
Các biến thể cập nhật được đặc trưng bởi việc sử dụng OLLVM để che giấu chức năng chính, đồng thời kết hợp một loạt các kỹ thuật né tránh sandbox và phân tích để ngăn chặn mã được thực thi trong môi trường do các nhà phân tích phần mềm độc hại điều hành.
Danh sách các ứng dụng chứa Mandrake bao gồm:
AirFS (com.airft.ftrnsfr)
Amber (com.shrp.sght)
Astro Explorer (com.astro.dscvr)
CryptoPulsing (com.cryptopulsing.browser)
Brain Matrix (com.brnmth.mtrx)
Các ứng dụng này bao gồm ba giai đoạn tấn công:
Dropper: Khởi chạy một loader chịu trách nhiệm thực thi thành phần chính của phần mềm độc hại sau khi tải xuống và giải mã nó từ máy chủ command-and-control (C2).
Payload Giai Đoạn 2: Có khả năng thu thập thông tin về trạng thái kết nối của thiết bị, ứng dụng đã cài đặt, phần trăm pin, địa chỉ IP bên ngoài và phiên bản Google Play hiện tại. Hơn nữa, nó có thể xóa mô-đun cốt lõi và yêu cầu quyền để vẽ lớp phủ và chạy nền.
Payload Giai Đoạn 3: Hỗ trợ các lệnh bổ sung để tải một URL cụ thể trong WebView và bắt đầu một phiên chia sẻ màn hình từ xa cũng như ghi lại màn hình thiết bị với mục tiêu đánh cắp thông tin đăng nhập của nạn nhân và thả thêm phần mềm độc hại.
Khả năng vượt qua các biện pháp phòng vệ
Android 13 đã giới thiệu tính năng “Restricted Settings”, cấm các ứng dụng cài đặt từ bên ngoài yêu cầu quyền nguy hiểm trực tiếp. Tuy nhiên, để vượt qua tính năng này, Mandrake đã xử lý việc cài đặt bằng một trình cài đặt khác dựa trên phiên.
Mandrake như một ví dụ về mối đe dọa đang phát triển liên tục, liên tục tinh chỉnh kỹ năng để vượt qua các cơ chế phòng thủ và tránh bị phát hiện.
Lời khuyên tới người dùng
Google cho biết hiện đang liên tục củng cố các biện pháp bảo vệ Google Play Protect. Người dùng Android được bảo vệ tự động bởi Google Play Protect trước các phiên bản đã bị phát hiện của phần mềm độc hại này. Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng khi phát hiện ra có hành vi độc hại, ngay cả khi những ứng dụng đó đến từ các nguồn bên ngoài Store.
Nguồn: The Hacker News