天天看點

神秘惡意軟體家族在Google Play潛伏多年

#記錄我的2024#

快速導讀

曼德拉克惡意軟體家族在經過兩年隐匿後再次出現在Google Play,僞裝成檔案共享、天文學和加密貨币應用。該惡意軟體以其隐秘監控活動而聞名,自2016年起經曆了兩次波段,分别是2016-2017年和2018-2020年,成功避開檢測。其政策包括不在90個國家操作、僅向特定受害者發送負載、實施自毀機制以及使用功能完整的誘餌應用。Kaspersky的研究顯示,曼德拉克不斷演變,采用多層混淆技術,以隐藏其惡意活動并避開分析。其最新版本将惡意代碼轉移至本地庫,增加了分析難度,主要目标是竊取使用者憑證并下載下傳進一步的惡意程式。曼德拉克的出現表明,盡管應用市場監管加強,惡意軟體的複雜性和隐蔽性仍在增加。

神秘惡意軟體家族在Google Play潛伏多年

曼德拉克惡意軟體在Google Play的發現

一種神秘的Android惡意軟體家族以其隐秘的監控活動而聞名,在兩年多的隐匿後再次出現在Google Play。這種名為曼德拉克的惡意軟體僞裝成檔案共享、天文學和加密貨币應用程式。2020年,安全公司Bitdefender在一份報告中強調了曼德拉克的侵擾性。該惡意軟體分為兩個明顯的波段:第一次從2016年到2017年,第二次從2018年到2020年。在這兩個時期内,它能夠避開檢測,歸因于一系列精心設計的政策,包括:

  • 在90個國家不進行操作,尤其是前蘇聯國家。
  • 将最終負載僅發送給一小部分特定受害者。
  • 實施名為“切腹”的自毀開關,參考日本的儀式自殺,抹去所有惡意軟體的痕迹。
  • 在金融、汽車與車輛、視訊播放器與編輯、藝術與設計及生産力等類别中使用完全功能的誘餌應用程式。
  • 對使用者評論中報告的漏洞提供快速修複。
  • 利用TLS證書釘紮來掩蓋與指揮和控制伺服器的通信。
神秘惡意軟體家族在Google Play潛伏多年

曼德拉克不斷演變的威脅

Bitdefender估計,在2018到2020年的波段中,受影響的受害者數量達到了數萬人,整個四年期間的總數可能達到數十萬人。在Bitdefender的2020年報告之後,曼德拉克感染的應用似乎從Google Play消失了。然而,安全公司Kaspersky在2022年報告了它們的重制,直到最近仍未被發現。除了推出一系列新的誘餌應用外,曼德拉克的操作者還實施了幾項新措施,以更好地隐藏其惡意活動,避開研究人員使用的“沙箱”分析,并抵禦近年來引入的惡意軟體防護。

Kaspersky的研究人員塔季揚娜·希什科娃和伊戈爾·戈洛溫指出:“曼德拉克間諜軟體正在動态演變,改進其隐蔽方法、沙箱規避以及繞過新的防禦機制。”在第一次活動的應用逃避檢測四年後,目前的活動已隐匿兩年,同時仍可在Google Play上下載下傳。這展示了威脅行為者的卓越技能,表明更嚴格的應用控制隻會導緻更複雜、更難檢測的威脅滲透官方應用市場。

神秘惡意軟體家族在Google Play潛伏多年

進階混淆技術

最新一代曼德拉克的一個顯著特征是其多層混淆設計,旨在防止研究人員的分析并繞過Google對惡意應用的稽核過程。Kaspersky識别出五款在2022年首次出現在Google Play上的應用,這些應用至少可用了一年,最近的一款在3月15日更新,随後于本月晚些時候被移除。到本月早些時候,這些應用中沒有一款被任何主要的惡意軟體檢測提供商标記為惡意。

其中一種混淆方法是将惡意功能轉移到本地庫中,這些庫也進行了混淆。之前,曼德拉克将其惡意邏輯存儲在應用的DEX檔案中,這相對容易分析。通過将惡意代碼重新定位到本地庫libopencv_dnn.so,曼德拉克使得分析和檢測變得更加困難。此外,通過在本地庫上使用OLLVM混淆器,曼德拉克應用變得更加隐秘。曼德拉克的主要目标是竊取使用者憑證,并下載下傳和執行進一步的惡意應用程式,這些行為僅在針對特定目标的後期感染中發生。

神秘惡意軟體家族在Google Play潛伏多年

繼續閱讀