دامنه اهداف Mandrake که از سال ۲۰۱۶ فعال بوده و محققان پیشتر نحوه هدف قرار دادن کاربران استرالیایی توسط آن را مورد بررسی قرار دادهبودند، اکنون به کشورهای بیشتری گسترش یافتهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان جزییات کارزاری را منتشر کردهاند که در جریان آن مهاجمان اقدام به آلودهسازی گوشیهای هوشمند Android به جاسوسافزار کرده و مخفیانه و بدون جلب توجه، به صورت کاملاً هدفمند کنترل کامل دستگاه را در اختیار میگیرند.
این جاسوسافزار با عنوان Mandrake با سوءاستفاده از توابع معتبر Android هر اطلاعاتی در خصوص کاربر را از روی دستگاه جمعآوری میکند.
مهاجم میتواند دادههای ذخیره شده بر روی دستگاه را مرور و جمعآوری کرده و اطلاعات اصالتسنجی حسابهایی همچون حسابهای مورد استفاده در برنامههای بانکی را سرقت کند. فعالیتهای کاربر مخفیانه بر روی صفحه را ضبط کرده، موقعیت GPS و بسیاری موارد دیگر را رصد و درنهایت رد پا و اثرات خود را معدوم کند.
شرکت Bitdefender در مقالهای تحقیقاتی به بررسی قابلیتهای جدید Mandrake که کاربران در اروپا و آمریکا را هدف قرار داده پرداختهاست. Mandrake از سال ۲۰۱۶ فعال بوده و محققان پیشتر نحوه هدف قرار دادن کاربران استرالیایی توسط آن را مورد بررسی قرار دادهبودند. اما اکنون دامنه اهداف Mandrake به کشورهای بیشتری گسترش یافتهاست.
هدف نهایی بدافزار قدرتمند Mandrake کنترل کامل دستگاه و هک حسابهای کاربری است. میزان گستردگی کارزار اگر چه هنوز کاملاً روشن نیست اما بهنظر میرسد که مهاجمان به دقت قربانیان خود را انتخاب کرده و زمانی که یک هدف ارزشمند به دام آنها میافتد بهصورت دستی Mandrake را طوری هدایت میکنند که حداکثر اطلاعات ممکن در خصوص کاربر سرقت شود.
Bitdefender تخمین میزند که تعداد قربانیان در دورهای چهارساله دهها هزار و حتی شاید صدها هزار مورد باشد.
نکته ویژه در خصوص Mandrake مجهز بودن آن به سوییچ مرگی (Kill-switch) است که در زمانی که مهاجمان به همه اطلاعات مورد نیاز در مورد قربانی دست پیدا میکنند فعال شده و بدافزار از روی دستگاه حذف میشود.
طی سالها گردانندگان Mandrake برای مخفی نگه داشتن بدافزار تلاش بسیاری کردهاند. برای مثال، این افراد اقدام به توسعه، ارسال و نگهداری چندین برنامه بر روی انباره رسمی Google، یعنی Play Store تحت نام توسعهدهندگانی متفاوت کردهاند. برخی از آنها برای هدف قرار دادن کشورهایی خاص طراحی شدهاند. این برنامهها اکنون حذف شدهاند.
برای راضی نگه داشتن کاربران اکثر این برنامهها رایگان بوده و بهروزرسانیها بهصورت دورهای برای آنها عرضه میشده است. حتی برای برخی از این برنامهها صفحاتی اجتماعی طراحی شدهبودند تا از این طریق کاربران بیشتری را متقاعد به اعتماد به آنها و دریافت کنند.
بدافزار از یک فرایند چندمرحلهای برای مخفی کردن ماهیت مخرب خود و عبور از سد کنترلهای امنیتی Play Store استفادهمیکند. برنامه بر روی تلفن نصب شده و در ادامه برای دریافت Loader با سرور تماس میگیرد. پس از آن Loader قابلیتهای اضافی که Mandrake برای کنترل دستگاه نیاز دارد را فراهم میکند.
بدافزار در چندین مرحله عمل میکند؛ اولین قدم آن شامل برنامهای پاک بدون هرگونه رفتار مخرب است؛ البته بهغیر از دریافت و نصب کد مرحله دوم، آن هم در زمانی که صریحاً به آن دستور دادهمیشود. بدیهی است که رفتار دریافت و نصب کد مرحله دوم نیز در حینی که برنامه در بستر تحلیلی Google در حال بررسی است فعال نمیشود.
بدافزار کاربر را به نحوی فریب میدهد که سطح دسترسی او را بر روی دستگاه ارتقا دهد. بدینمنظور از روشهای سادهای نظیر نمایش جعلی توافقنامه مجوز کاربر نهایی (End-User License Agreement) استفادهمیشود که با موافقت کاربر، در پشتصحنه یک سطح دسترسی بهشدت قدرتمند به بدافزار اعطا میشود. با آن دسترسیها، بدافزار کاملاً به دستگاه تسلط یافته و دادههای بر روی آن را بهدست میآورد.
در حالی که هنوز قطعی نیست که کدام افراد و با چه قصدی هدف Mandrake قرار میگیرند مهاجمان میدانستهاند که گسترده کردن دامنه اهداف، احتمال شناسایی زودهنگام این بدافزار را افزایش میدادهاست.
احتمال دادهمیشود که کارزار Mandrake همچنان فعال باشد و دیر یا زود گردانندگان آن برنامههای جدیدی را برای کپی بدافزار توزیع خواهندکرد.
برای ایمن ماندن از گزند چنین تهدیداتی به کاربران توصیه میشود که فقط از برنامههای توسعه دادهشده توسط شرکتهای معتبر استفادهکنند. در برخی مواقع بهتر است که از نصب برنامه توسعه دادهشده توسط منبعی جدید حتی در صورت به اشتراکگذاری آن بر روی انباره رسمی Play Store اجتناب شود.
گزارش تحلیلی Bitdefender در لینک زیر قابل دریافت و مطالعه است:
https://labs.bitdefender.com/۲۰۲۰/۰۵/mandrake-owning-android-devices-since-۲۰۱۶/