تم العثور على نسخة جديدة من برنامج التجسس “Mandrake” على نظام أندرويد في خمسة تطبيقات تم تنزيلها 32 ألف مرة من Google Play، متجر التطبيقات الرسمي للمنصة.
بت ديفندر تم توثيقه لأول مرة تم الكشف عن فيروس Mandrake في عام 2020، حيث سلط الباحثون الضوء على قدرات التجسس المتطورة للبرنامج الخبيث وأشاروا إلى أنه يعمل في البرية منذ عام 2016 على الأقل.
تُفيد شركة كاسبيرسكي الآن بوجود نسخة جديدة من Mandrake تتميز بقدرة أفضل على التعتيم والتهرب تسلل إلى Google Play من خلال خمسة تطبيقات تم تقديمها إلى المتجر في عام 2022.
ظلت هذه التطبيقات متاحة لمدة عام على الأقل، بينما تمت إزالة التطبيق الأخير، AirFS، والذي كان الأكثر نجاحًا من حيث الشعبية والإصابات، في نهاية مارس 2024.
المصدر: كاسبيرسكي
حددت شركة كاسبيرسكي التطبيقات الخمسة التي تحمل فيروس Mandrake على النحو التالي:
- نظام الملفات الجوية – مشاركة الملفات عبر Wi-Fi بواسطة it9042 (30,305 عملية تنزيل بين 28 أبريل 2022 و15 مارس 2024)
- المستكشف الفلكي بقلم shevabad (718 تنزيلًا من 30 مايو 2022 إلى 6 يونيو 2023)
- العنبر بقلم kodaslda (19 عملية تنزيل بين 27 فبراير 2022 و19 أغسطس 2023)
- كريبتوبولسينج بقلم shevabad (790 عملية تنزيل من 2 نوفمبر 2022 إلى 6 يونيو 2023)
- مصفوفة الدماغ بقلم kodaslda (259 عملية تنزيل بين 27 أبريل 2022 و6 يونيو 2023)
وتقول شركة الأمن السيبراني إن معظم التنزيلات تأتي من كندا وألمانيا وإيطاليا والمكسيك وإسبانيا وبيرو والمملكة المتحدة.
المصدر: كاسبيرسكي
التهرب من الكشف
على عكس البرامج الضارة التقليدية لنظام Android، والتي تضع منطقًا ضارًا في ملف DEX الخاص بالتطبيق، يخفي Mandrake مرحلته الأولية في مكتبة أصلية، ‘libopencv_dnn.so’، والتي تعمل على التعتيم بشكل كبير باستخدام OLLVM.
عند تثبيت التطبيق الضار، تقوم المكتبة بتصدير وظائف لفك تشفير محمل المرحلة الثانية DEX من مجلد أصولها وتحميلها في الذاكرة.
تطلب المرحلة الثانية الأذونات لرسم الطبقات وتحميل مكتبة أصلية ثانية، ‘libopencv_java3.so’، والتي تقوم بفك تشفير شهادة من أجل اتصالات آمنة مع خادم الأوامر والتحكم (C2).
بعد إنشاء الاتصال مع C2، يرسل التطبيق ملف تعريف الجهاز ويستقبل مكون Mandrake الأساسي (المرحلة الثالثة) إذا اعتبر ذلك مناسبًا.
بمجرد تنشيط المكون الأساسي، يمكن لبرامج التجسس Mandrake تنفيذ مجموعة واسعة من الأنشطة الضارة، بما في ذلك جمع البيانات وتسجيل الشاشة ومراقبتها وتنفيذ الأوامر ومحاكاة حركات المستخدم والنقرات وإدارة الملفات وتثبيت التطبيقات.
والجدير بالذكر أن الجهات الفاعلة في مجال التهديد يمكن أن تدفع المستخدمين إلى تثبيت المزيد من ملفات APK الضارة من خلال عرض إشعارات تحاكي Google Play، على أمل خداع المستخدمين لتثبيت ملفات غير آمنة من خلال عملية تبدو موثوقة.
وتقول كاسبيرسكي إن البرامج الضارة تستخدم أيضًا طريقة التثبيت المعتمدة على الجلسة لتجاوز قيود Android 13 (والإصدارات الأحدث) على تثبيت APKs من مصادر غير رسمية.
مثل غيرها من برامج التجسس التي تعمل على نظام أندرويد، يمكن لـ Mandrake أن يطلب من المستخدم منح الإذن للعمل في الخلفية وإخفاء أيقونة التطبيق على جهاز الضحية، والعمل بشكل خفي.
كما يتميز الإصدار الأحدث من البرامج الضارة بقدرته على التهرب من الهجوم، والآن يتحقق على وجه التحديد من وجود Frida، وهي مجموعة أدوات قياس ديناميكية تحظى بشعبية بين محللي الأمن.
كما أنه يتحقق من حالة جذر الجهاز، ويبحث عن ثنائيات محددة مرتبطة به، ويتحقق مما إذا كان قسم النظام مثبتًا للقراءة فقط، ويتحقق مما إذا كانت إعدادات التطوير وADB ممكّنة على الجهاز.
لا يزال تهديد Mandrake قائما، وفي حين أن التطبيقات الخمسة التي حددتها Kaspersky على أنها مصدر للبرامج الخبيثة لم تعد متوفرة على Google Play، فإن البرامج الضارة قد تعود عبر تطبيقات جديدة يصعب اكتشافها.
يُنصح مستخدمو Android بتثبيت التطبيقات من الناشرين ذوي السمعة الطيبة فقط، والتحقق من تعليقات المستخدمين قبل التثبيت، وتجنب منح طلبات الأذونات المحفوفة بالمخاطر والتي تبدو غير مرتبطة بوظيفة التطبيق، والتأكد من أن Play Protect نشط دائمًا.
شاركت Google البيان التالي حول التطبيقات الضارة الموجودة على Google Play.
صرحت شركة Google لموقع BleepingComputer قائلة: “إن Google Play Protect يتحسن باستمرار مع كل تطبيق يتم تحديده. نحن نعمل دائمًا على تحسين قدراته، بما في ذلك اكتشاف التهديدات المباشرة القادمة للمساعدة في مكافحة التعتيم وتقنيات مكافحة التهرب”.
“يتم حماية مستخدمي Android تلقائيًا ضد الإصدارات المعروفة من هذا البرنامج الضار بواسطة Google Play Protect، والذي يتم تشغيله افتراضيًا على أجهزة Android التي تحتوي على خدمات Google Play. يمكن لـ Google Play Protect تحذير المستخدمين أو حظر التطبيقات المعروفة بإظهار سلوك ضار، حتى عندما تأتي هذه التطبيقات من مصادر خارج Play.”