W Internecie pojawia się wiele złośliwych programów dla Androida. Ten przypadek jest interesujący, ponieważ umożliwiał hackerom kontrolę użytkowników przez kilka lat. W tym artykule opiszemy malware Mandrake, który służył przestępcom jako inteligentne narzędzie szpiegujące oraz do atakowania użytkowników Androida w Polsce i w innych krajach na Świecie.

Badacze z Bitdefender opublikowali szczegółowe opracowanie na temat swoich badań dotyczących złośliwego oprogramowania Mandrake dla Android. Uważają, że malware jest aktywny od co najmniej 4 lat i przez cały ten czas pozostawał niewykryty, aż do początku 2020r. Prawdopodobnie zainfekowało się nim tysiące użytkowników.


Malware tkwi w aplikacjach

W dużym skrócie, szkodliwe oprogramowanie to inteligentne oprogramowanie szpiegujące, atakując użytkowników za pośrednictwem kampanii phishingowych i fałszywych aplikacji. Naukowcy zauważyli co najmniej dwie główne fale infekcji – między 2016 a 2017 rokiem, a następnie między 2018 a 2020. Podczas gdy pierwsza fala malware posiadała ograniczoną funkcjonalność, druga obejmowała inteligentniejszą wersję.
Naukowcy ustalili, że szkodliwe oprogramowanie jest dostępne w sklepie Google Play i ukrywa się w co najmniej 7 aplikacjach, z których każda posiada szeroką bazę użytkowników. Należą do nich OfficeScanner, Abfix, Currency XE Converter, SnapTune Vid, CoinCast, Horoskope i Car News – wszystkie oferowane od pozornie różnych programistów.


Pozory mogą mylić

Przeglądając te aplikacje w sklepie Google Play w celu ich pobrania możemy odnieść wrażenie, że wyglądają na legalne i w niczym nie odbiegają od tych popularnych. Cyberprzestępcy byli na tyle przebiegli, że zadbali nawet o opinie użytkowników oraz pomagali w rozwiązywaniu problemów. W kontekście tego ostatniego oferowali nawet wsparcie online dla tych aplikacji za pomocą dedykowanych stron internetowych i stron mediów społecznościowych.

Źródło: Bitdefender

Droga infekcji Mandrake

Jeśli użytkownik pobrał na swoje urządzenie aplikację, malware był uruchamiany w trzystopniowym procesie. Przy czym trzeci etap zostałby wykonany tylko wtedy, gdy cyberprzestępcy uznaliby ofiarę za godną ataku.

Źródło: Bitdefender

Po wykonaniu Mandrake zaszywa się w systemie operacyjnym i działa w ukryciu na urządzeniu ofiary, odfiltrowując dane. Wykazuje także liczne funkcje do przejęcia docelowego urządzenia. Należą do nich:

  • Wyodrębnianie wiadomości SMS
  • Wysyłanie wiadomości SMS na określone numery
  • Pobieranie listy kontaktów
  • Wykonywanie połączeń telefonicznych
  • Pobieranie listy instalowanie / odinstalowywanie aplikacji
  • Pobieranie wszystkich informacji o koncie
  • Pozyskiwanie szczegółów na temat urządzenia i sieci
  • Nagrywanie ekranu
  • Śledzenie GPS
  • Inicjowanie przywracania ustawień fabrycznych w celu wyczyszczenia złośliwego oprogramowania

Ostatnia funkcja wykonywana jest wtedy, gdy cyberprzestępcy uznają, że wyekstrahowane dane wystarczają do ich kradzieży z telefonu. Po tym kroku wymazują urządzenie do danych fabrycznych w celu wyczyszczenia po sobie jakikolwiek śladów.


Mandrake wykonuje ataki ukierunkowane

Badacze stwierdzili, że złośliwe oprogramowanie dla Androida w dużej mierze pozostawało niewykryte przez lata ze względu na precyzyjne atakowanie użytkowników. Kampania skierowana była głównie do osób w rozwiniętych regionach, takich jak Europa, Australia, Kanada i Ameryka. Spośród nich Australia stała się regionem najbardziej dotkniętym. Na liście jest też Polska zaznaczona na pomarańczowo!

Tymczasem szkodliwe oprogramowanie nie atakowało użytkowników z regionów o niskich dochodach, takich jak Afryka, obszary arabskojęzyczne i krajów należących do byłego ZSRR. W szczególności osoby atakujące wyeliminowały około 90 krajów ze swojej listy celów.


Istotny jest wydawca karty SIM

Szkodliwe oprogramowanie atakowało również użytkowników zgodnie ich z kartami SIM. Badacze stwierdzili w opracowaniu:

„Malware unika także uruchamiania na urządzeniach bez kart SIM lub z kartami SIM wydanymi przez określonych operatorów. W szczególności nie będzie działać między innymi z Verizon lub China Mobile Communications Corporation (CMCC).”

Malware jest na tyle inteligentny, że potrafi rozpoznać symulowane środowisko i w tej sytuacji nie uruchomić się nawet przy zaimplementowanym mechanizmie weryfikacji CAPTCHA podczas uruchamiania aplikacji.


Podsumowanie

Mimo tych wszystkich szczegółów badacze nie byli w stanie wyjaśnić pochodzenia cyberprzestępców i ich intencji podczas atakowania ofiar. Mandrake wciąż posiada duży potencjał do rozszerzenia docelowego promienia działania. Dlatego po raz kolejny użytkownicy muszą upewnić się, że unikają korzystania z aplikacji pochodzących od nowych programistów o nieznanych nazwach. Weryfikujcie za każdym razem aplikację, uważajcie na dodatkowe komunikaty.

Jeśli korzystasz lub posiadasz na swoim telefonie powyżej wymienione aplikacje jak najszybciej je odinstaluj oraz najlepiej przywróć ustawienia w telefonie do fabrycznych (przy uprzednim przegraniu najważniejszych danych).