جاسوس توانمند گوشی‌های هوشمند
Mandrake سال‌ها مخفیانه قربانی می‌گرفت
کد مطلب: 16655
تاریخ انتشار : سه شنبه ۳۰ ارديبهشت ۱۳۹۹ ساعت ۱۵:۰۰
 
دامنه اهداف Mandrake که از سال ۲۰۱۶ فعال بوده و محققان پیش‌تر نحوه هدف قرار دادن کاربران استرالیایی توسط آن را مورد بررسی قرار داده‌بودند، اکنون به کشورهای بیشتری گسترش یافته‌است.
Mandrake سال‌ها مخفیانه قربانی می‌گرفت
 
 
Share/Save/Bookmark
دامنه اهداف Mandrake که از سال ۲۰۱۶ فعال بوده و محققان پیش‌تر نحوه هدف قرار دادن کاربران استرالیایی توسط آن را مورد بررسی قرار داده‌بودند، اکنون به کشورهای بیشتری گسترش یافته‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان جزییات کارزاری را منتشر کرده‌اند که در جریان آن مهاجمان اقدام به آلوده‌سازی گوشی‌های هوشمند Android به جاسوس‌افزار کرده و مخفیانه و بدون جلب توجه، به‌ صورت کاملاً هدفمند کنترل کامل دستگاه را در اختیار می‌گیرند.

این جاسوس‌افزار با عنوان Mandrake با سوءاستفاده از توابع معتبر Android هر اطلاعاتی در خصوص کاربر را از روی دستگاه جمع‌آوری می‌کند.

مهاجم می‌تواند داده‌های ذخیره شده بر روی دستگاه را مرور و جمع‌آوری کرده و اطلاعات اصالت‌سنجی حساب‌هایی همچون حساب‌های مورد استفاده در برنامه‌های بانکی را سرقت کند. فعالیت‌های کاربر مخفیانه بر روی صفحه را ضبط کرده، موقعیت GPS و بسیاری موارد دیگر را رصد و درنهایت رد پا و اثرات خود را معدوم کند.

شرکت Bitdefender در مقاله‌ای تحقیقاتی به بررسی قابلیت‌های جدید Mandrake که کاربران در اروپا و آمریکا را هدف قرار داده پرداخته‌است. Mandrake از سال ۲۰۱۶ فعال بوده و محققان پیش‌تر نحوه هدف قرار دادن کاربران استرالیایی توسط آن را مورد بررسی قرار داده‌بودند. اما اکنون دامنه اهداف Mandrake به کشورهای بیشتری گسترش یافته‌است.

هدف نهایی بدافزار قدرتمند Mandrake کنترل کامل دستگاه و هک حساب‌های کاربری است. میزان گستردگی کارزار اگر چه هنوز کاملاً روشن نیست اما به‌نظر می‌رسد که مهاجمان به دقت قربانیان خود را انتخاب کرده و زمانی که یک هدف ارزشمند به دام آنها می‌افتد به‌صورت دستی Mandrake را طوری هدایت می‌کنند که حداکثر اطلاعات ممکن در خصوص کاربر سرقت شود.

Bitdefender تخمین می‌زند که تعداد قربانیان در دوره‌ای چهارساله ده‌ها هزار و حتی شاید صدها هزار مورد باشد.

نکته ویژه در خصوص Mandrake مجهز بودن آن به سوییچ مرگی (Kill-switch) است که در زمانی که مهاجمان به همه اطلاعات مورد نیاز در مورد قربانی دست پیدا می‌کنند فعال شده و بدافزار از روی دستگاه حذف می‌شود.

طی سال‌ها گردانندگان Mandrake برای مخفی نگه داشتن بدافزار تلاش بسیاری کرده‌اند. برای مثال، این افراد اقدام به توسعه، ارسال و نگهداری چندین برنامه بر روی انباره رسمی Google، یعنی Play Store تحت نام توسعه‌دهندگانی متفاوت کرده‌اند. برخی از آنها برای هدف قرار دادن کشورهایی خاص طراحی شده‌اند. این برنامه‌ها اکنون حذف شده‌اند.

برای راضی نگه داشتن کاربران اکثر این برنامه‌ها رایگان بوده و به‌روزرسانی‌ها به‌صورت دوره‌ای برای آنها عرضه می‌شده است. حتی برای برخی از این برنامه‌ها صفحاتی اجتماعی طراحی شده‌بودند تا از این طریق کاربران بیشتری را متقاعد به اعتماد به آنها و دریافت کنند.

بدافزار از یک فرایند چندمرحله‌ای برای مخفی کردن ماهیت مخرب خود و عبور از سد کنترل‌های امنیتی Play Store استفاده‌می‌کند. برنامه بر روی تلفن نصب شده و در ادامه برای دریافت Loader با سرور تماس می‌گیرد. پس از آن Loader قابلیت‌های اضافی که Mandrake برای کنترل دستگاه نیاز دارد را فراهم می‌کند.

بدافزار در چندین مرحله عمل می‌کند؛ اولین قدم آن شامل برنامه‌ای پاک بدون هرگونه رفتار مخرب است؛ البته به‌غیر از دریافت و نصب کد مرحله دوم، آن هم در زمانی که صریحاً به آن دستور داده‌می‌شود. بدیهی است که رفتار دریافت و نصب کد مرحله دوم نیز در حینی که برنامه در بستر تحلیلی Google در حال بررسی است فعال نمی‌شود.

بدافزار کاربر را به نحوی فریب می‌دهد که سطح دسترسی او را بر روی دستگاه ارتقا دهد. بدین‌منظور از روش‌های ساده‌ای نظیر نمایش جعلی توافق‌نامه مجوز کاربر نهایی (End-User License Agreement) استفاده‌می‌شود که با موافقت کاربر، در پشت‌صحنه یک سطح دسترسی به‌شدت قدرتمند به بدافزار اعطا می‌شود. با آن دسترسی‌ها، بدافزار کاملاً به دستگاه تسلط یافته و داده‌های بر روی آن را به‌دست می‌آورد.

در حالی که هنوز قطعی نیست که کدام افراد و با چه قصدی هدف Mandrake قرار می‌گیرند مهاجمان می‌دانسته‌اند که گسترده کردن دامنه اهداف، احتمال شناسایی زودهنگام این بدافزار را افزایش می‌داده‌است.

احتمال داده‌می‌شود که کارزار Mandrake همچنان فعال باشد و دیر یا زود گردانندگان آن برنامه‌های جدیدی را برای کپی بدافزار توزیع خواهندکرد.

برای ایمن ماندن از گزند چنین تهدیداتی به کاربران توصیه می‌شود که فقط از برنامه‌های توسعه داده‌شده توسط شرکت‌های معتبر استفاده‌کنند. در برخی مواقع بهتر است که از نصب برنامه توسعه داده‌شده توسط منبعی جدید حتی در صورت به اشتراک‌گذاری آن بر روی انباره رسمی Play Store اجتناب شود.

گزارش تحلیلی Bitdefender در لینک زیر قابل دریافت و مطالعه است:
https://labs.bitdefender.com/۲۰۲۰/۰۵/mandrake-owning-android-devices-since-۲۰۱۶/
مرجع : مرکز مدیریت راهبردی افتا