محققان امنیتی یک بستر جاسوسی بسیار پیشرفته را برای سیستم عامل اندروید شناسایی کردهاند که توانسته به مدت چهار سال ناشناخته باقی بماند. این بستر که Mandrake نام دارد، تنها دستگاههای خاصی را هدف قرار میدهد، زیرا اپراتورهای آن میخواهند تا حد امکان شناسایی نشوند. بنابراین، این بدافزار از آلودهکردن دستگاهها در کشورهایی که ممکن است هیچ مزیتی برای مهاجمان نداشته باشد، جلوگیری میکند.
در چهار سال گذشته، این بستر بهروزرسانیهای بسیاری را دریافت کرده است که طی آنها، ویژگیهای جدیدی به آن دائماً اضافه شده و موارد منسوخ حذف شدهاند. از این رو، چارچوب این بدافزار بسیار پیچیده بوده و حملات بهصورت جداگانه، دستی و با دقت بسیار صورت میگیرند.
جاسوسافزار Mandrake کنترل کامل دستگاه آلوده را در اختیار گرفته و به این ترتیب، امکان کاهش حجم صدا، مسدودکردن تماسها و پیامها، سرقت گواهینامهها، دسترسی به دادهها، انتقال پول، ضبط صفحهی نمایش و باجخواهی از قربانیان، را برای مهاجمان فراهم میکند.
با اینکه گفته میشود Mandrake یک بستر جاسوسی پیشرفته است، اما محققان امنیتی معتقدند که این پویش بیشتر انگیزهی مالی دارد. محققان در حین تحقیقات، حملات فیشینگی را مشاهده کردند که یک برنامهی سرمایهگذاری استرالیایی، کیف پولهای رمزارزی، برنامهی خرید آمازون، نرمافزارهای بانکی، برنامههای پرداخت، یک برنامهی صندوق بازنشستگی استرالیایی و جیمیل را هدف قرار داده بودند.
محققان میگویند، آلودگی با بدافزار Mandrake در دو مرحله رخ داده است. مرحلهی اول در سالهای ۲۰۱۶ و ۲۰۱۷ میلادی و دومین مرحله، بین سالهای ۲۰۱۸ و ۲۰۲۰ اتفاق افتاده كه بیشتر قربانیان در استرالیا، اروپا و آمریكا مستقر بودند. بهنظر میرسد استرالیا بیشترین هدف را داشته است. به گفتهی محققان، موج فعلی حمله به احتمال زیاد دهها هزار، و فعالیت چهار سالهی این بدافزار، احتمالاً صدها هزار قربانی داشته است.
از سوی دیگر، هفت برنامهی مخربی که Mandrake را گسترش میدهند نیز، در گوگل پلی شناسایی شدهاند که شامل برنامههای Abfix ، CoinCast ، SnapTune Vid ، Currency XE Converter ، Office Scanner ، Horoskope و Car News هستند. هرکدام از این برنامهها صدها هزار مرتبه دانلود شدهاند.
طبق گزارشها، این بدافزار از آلودهکردن حدود ۹۰ کشور و همچنین، دستگاههای بدون سیمکارت یا دارای سیمکارتهای صادرشده توسط برخی از اپراتورها از جمله Verizon و شرکت ارتباطات سیار چین (CMCC)، خودداری میکند.
علاوهبراین، تکنیکهای ضد تقلید و پنهانسازی مختلفی نیز به همراه امتیازات مدیر و سرویس دسترسی قابلاستفاده هستند تا از ادامهی آلودگی اطمینان حاصل شود. این بدافزار همچنین به خود مجوزهای زیادی اعطا میکند که جمعآوری و استخراج مقادیر زیادی داده و ردیابی و جاسوسی کاربران را برای آن امکانپذیر میکنند.
همچنین، اپراتورهای بدافزار میتوانند با صدور دستوری برای راهاندازی مجدد دستگاه و بازنشانی تنظیمات کارخانه، ردپاهای سازش و بدافزار را پاک کنند. این دستور تنها درصورتی که بدافزار دارای امتیازات مدیریتی باشد، فراخوانی میشود.