Mandrake؛ جاسوس‌افزار اندرویدی که به مدت ۴ سال ناشناخته ماند

محققان امنیتی یک بستر جاسوسی بسیار پیشرفته را برای سیستم عامل اندروید شناسایی کرده‌اند که توانسته به مدت چهار سال ناشناخته باقی بماند. این بستر که Mandrake نام دارد، تنها دستگاه‌های خاصی را هدف قرار می‌دهد، زیرا اپراتورهای آن می‌خواهند تا حد امکان شناسایی نشوند. بنابراین، این بدافزار از آلوده‌کردن دستگا‌ه‌ها در کشورهایی که ممکن است هیچ مزیتی برای مهاجمان نداشته باشد، جلوگیری می‌کند.

در چهار سال گذشته، این بستر به‌روزرسانی‌های بسیاری را دریافت کرده است که طی آن‌ها، ویژگی‌های جدیدی به آن دائماً اضافه شده و موارد منسوخ حذف شده‌اند. از این رو، چارچوب این بدافزار بسیار پیچیده بوده و حملات به‌صورت جداگانه، دستی و با دقت بسیار صورت می‌گیرند.

جاسوس‌افزار Mandrake کنترل کامل دستگاه آلوده را در اختیار گرفته و به این ترتیب، امکان کاهش حجم صدا، مسدودکردن تماس‌ها و پیام‌ها، سرقت گواهی‌نامه‌ها، دسترسی به داده‌ها، انتقال پول، ضبط صفحه‌ی نمایش و باج‌خواهی از قربانیان، را برای مهاجمان فراهم می‌کند.

با این‌که گفته می‌شود Mandrake یک بستر جاسوسی پیشرفته است، اما محققان امنیتی معتقدند که این پویش بیشتر انگیزه‌ی مالی دارد. محققان در حین تحقیقات، حملات فیشینگی را مشاهده کردند که یک برنامه‌ی سرمایه‌گذاری استرالیایی، کیف پول‌های رمزارزی، برنامه‌ی خرید آمازون، نرم‌افزارهای بانکی، برنامه‌های پرداخت، یک برنامه‌ی صندوق بازنشستگی استرالیایی و جی‌میل را هدف قرار داده بودند.

محققان می‌گویند، آلودگی با بدافزار Mandrake در دو مرحله رخ داده است. مرحله‌ی اول در سال‌های ۲۰۱۶ و ۲۰۱۷ میلادی و دومین مرحله‌، بین سال‌های ۲۰۱۸ و ۲۰۲۰ اتفاق افتاده كه بیشتر قربانیان در استرالیا، اروپا و آمریكا مستقر بودند. به‌نظر می‌رسد استرالیا بیشترین هدف را داشته است. به گفته‌ی محققان، موج فعلی حمله به احتمال زیاد ده‌ها هزار، و فعالیت چهار ساله‌ی این بدافزار، احتمالاً صدها هزار قربانی  داشته است.

از سوی دیگر، هفت برنامه‌ی مخربی که Mandrake را گسترش می‌دهند نیز، در گوگل پلی شناسایی شده‌اند که شامل برنامه‌های Abfix ، CoinCast ، SnapTune Vid ، Currency XE Converter ، Office Scanner ، Horoskope و Car News هستند. هرکدام از این برنامه‌ها صدها هزار مرتبه دانلود شده‌اند.

طبق گزارش‌ها، این بدافزار از آلوده‌کردن حدود ۹۰ کشور و همچنین، دستگاه‌های بدون سیم‌کارت یا دارای سیم‌کارت‌های صادرشده توسط برخی از اپراتورها از جمله Verizon و شرکت ارتباطات سیار چین (CMCC)، خودداری می‌کند.

علاوه‌براین، تکنیک‌های ضد تقلید و پنهان‌سازی مختلفی نیز به همراه امتیازات مدیر و سرویس دسترسی قابل‌استفاده هستند تا از ادامه‌ی آلودگی اطمینان حاصل شود. این بدافزار همچنین به خود مجوزهای زیادی اعطا می‌کند که جمع‌آوری و استخراج مقادیر زیادی داده و ردیابی و جاسوسی کاربران را برای آن امکان‌پذیر می‌کنند.

همچنین، اپراتورهای بدافزار می‌توانند با صدور دستوری برای راه‌اندازی مجدد دستگاه و بازنشانی تنظیمات کارخانه، ردپاهای سازش و بدافزار را پاک کنند. این دستور تنها درصورتی که بدافزار دارای امتیازات مدیریتی باشد، فراخوانی می‌شود.

منبع

پست‌های مشابه

Leave a Comment