安全研究人员揭示了 Mandrake 的全新迭代,Mandrake 是一种复杂的 Android 网络间谍恶意软件工具。Bitdefender 于 2020 年 5 月初步分析,曼德拉草至少在四年内未被发现。
2024 年 4 月,卡巴斯基研究人员发现了可疑样本,这些样本被确认为 Mandrake 的新版本。从 2022 年到 2024 年,这种最新变种隐藏在 Google Play 上的五个应用程序中,积累了超过 32,000 次下载,同时没有被其他网络安全供应商发现。
卡巴斯基今天发布的公告中描述了更新的曼德拉草样本,显示了增强的混淆和规避策略。主要更改包括将恶意函数移动到经过混淆的本机库,使用证书固定与命令和控制 (C2) 服务器进行安全通信,以及实施各种测试以避免在已取得 root 权限或模拟的设备上进行检测。
据报道,这些应用程序在 Google Play 上保留了长达两年的时间,下载次数最多的应用程序 AirFS 在 2024 年 3 月下架之前累计安装了超过 30,000 次。
复杂的感染链
从技术角度来看,新的曼德拉草版本通过多阶段感染链运行。最初,恶意活动隐藏在原生库中,与之前的第一阶段在 DEX 文件中的活动相比,它更难分析。
执行时,第一阶段库解密并加载第二阶段,然后启动与 C2 服务器的通信。如果认为相关,C2 服务器会命令设备下载并执行核心恶意软件,该恶意软件旨在窃取用户凭据并部署其他恶意应用程序。
卡巴斯基警告说,曼德拉草的规避技术已经变得更加复杂,包括对仿真环境、根设备和分析师工具的检查。这些增强功能使网络安全专家难以检测和分析恶意软件。
值得注意的是,Mandrake 背后的威胁行为者还采用了一种新颖的数据加密和解密方法,混合使用自定义算法和标准 AES 加密。
“Mandrake 间谍软件正在动态发展,改进其隐藏、沙盒规避和绕过新防御机制的方法。在第一个活动的应用程序四年未被发现之后,当前的活动在阴影中潜伏了两年,但仍然可以在Google Play上下载,“卡巴斯基解释说。
“这凸显了威胁行为者的强大技能,而且在应用程序发布到市场之前对应用程序进行更严格的控制只会转化为更复杂、更难检测的威胁潜入官方应用程序市场。”