Siber Muhbir

Kaspersky, Pazartesi günü yaptığı açıklamada, uygulamaların uygulama mağazasından çekilmeden önce toplam 32.000'den fazla kurulum çektiğini söyledi. İndirmelerin çoğu Kanada, Almanya, İtalya, Meksika, İspanya, Peru ve İngiltere'den geldi.

Araştırmacılar Tatyana Shishkova ve Igor Golovin, "Yeni örnekler, kötü amaçlı işlevselliği gizlenmiş yerel kütüphanelere taşımak, C2 iletişimleri için sertifika sabitlemeyi kullanmak ve Mandrake'nin köklü bir cihazda mı yoksa taklit edilmiş bir ortamda mı çalıştığını kontrol etmek için çok çeşitli testler yapmak gibi yeni gizleme ve kaçınma teknikleri katmanlarını içeriyordu" dedi.

Mandrake ilk olarak Mayıs 2020'de Rumen siber güvenlik satıcısı Bitdefender tarafından belgelendi ve 2016'dan bu yana gölgelerde gizlenmeyi başarırken bir avuç cihaza virüs bulaştırmaya yönelik kasıtlı yaklaşımını anlattı. Kötü amaçlı yazılım henüz bir tehdit aktörüne veya grubuna atfedilmedi.

Güncellenen varyantlar, ana işlevselliği gizlemek için OLLVM kullanımı ile karakterize edilirken, aynı zamanda kodun kötü amaçlı yazılım analistleri tarafından işletilen ortamlarda yürütülmesini önlemek için bir dizi korumalı alandan kaçınma ve analiz önleme tekniği içerir.

Mandrake içeren uygulamaların listesi aşağıdadır -

• AirFS (com.airft.ftrnsfr)
• Kehribar (com.shrp.sght)
• Astro Kaşif (com.astro.dscvr)
• Beyin Matrisi (com.brnmth.mtrx)
• CryptoPulsing (com.cryptopulsing.browser)

Uygulamalar üç aşamada paketlenir: Kötü amaçlı yazılımın temel bileşenini bir komut ve kontrol (C2) sunucusundan indirip şifresini çözdükten sonra yürütmekten sorumlu bir yükleyiciyi başlatan bir damlalık.

İkinci aşama yükü ayrıca cihazın bağlantı durumu, yüklü uygulamalar, pil yüzdesi, harici IP adresi ve mevcut Google Play sürümü hakkında bilgi toplama yeteneğine de sahiptir. Ayrıca, çekirdek modülü silebilir ve bindirmeler çizmek ve arka planda çalıştırmak için izin isteyebilir.

Üçüncü aşama, bir Web Görünümüne belirli bir URL'yi yüklemek ve uzaktan bir ekran paylaşımı oturumu başlatmak ve ayrıca kurbanların kimlik bilgilerini çalmak ve daha fazla kötü amaçlı yazılım bırakmak amacıyla cihaz ekranını kaydetmek için ek komutları destekler.

Araştırmacılar, "Android 13, yandan yüklenen uygulamaların doğrudan tehlikeli izinler talep etmesini yasaklayan 'Kısıtlı Ayarlar' özelliğini tanıttı" dedi. "Bu özelliği atlamak için Mandrake, kurulumu 'oturum tabanlı' bir paket yükleyici ile işliyor."

Rus güvenlik şirketi, Mandrake'yi, savunma mekanizmalarını atlamak ve tespit edilmekten kaçınmak için ticaret zanaatını sürekli olarak geliştiren, dinamik olarak gelişen bir tehdidin bir örneği olarak tanımladı.

"Bu, tehdit aktörlerinin müthiş becerilerini vurguluyor ve ayrıca pazarlarda yayınlanmadan önce uygulamalar için daha sıkı kontrollerin, yalnızca resmi uygulama pazarlarına gizlice giren daha karmaşık, tespit edilmesi daha zor tehditlere dönüştüğünü vurguluyor" dedi.

Yorum için ulaşıldığında Google, yeni kötü amaçlı uygulamalar işaretlendikçe Google Play Protect savunmasını sürekli olarak desteklediğini ve gizleme ve kaçınma önleme teknikleriyle mücadele etmek için canlı tehdit algılamayı içerecek şekilde yeteneklerini geliştirdiğini söyledi.

Bir Google sözcüsü, "Android kullanıcıları, Google Play Hizmetleri'ne sahip Android cihazlarda varsayılan olarak açık olan Google Play Protect tarafından bu kötü amaçlı yazılımın bilinen sürümlerine karşı otomatik olarak korunuyor" dedi. "Google Play Protect, kullanıcıları uyarabilir veya kötü amaçlı davranışlar sergilediği bilinen uygulamaları, bu uygulamalar Play dışındaki kaynaklardan gelse bile engelleyebilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.