عائلة غامضة من البرمجيات الخبيثة مختبئة في متجر Google Play منذ سنوات

تم العثور مرة أخرى على عائلة غامضة من البرامج الضارة التي تعمل على نظام أندرويد، والتي لديها تاريخ واضح في إخفاء أنشطة التجسس المتعددة بشكل فعال، في Google Play بعد أكثر من عامين من الاختباء أمام أعين الجميع.

استضافت التطبيقات، المتخفية في هيئة تطبيقات مشاركة الملفات وعلم الفلك والعملات المشفرة، برنامج Mandrake، وهو مجموعة من البرامج الضارة شديدة التطفل والتي اكتشفتها شركة الأمن Bitdefender خارج نطاق الخدمة في عام 2020. قالت شركة Bitdefender إن التطبيقات ظهرت في موجتين، واحدة في الفترة من 2016 إلى 2017 ومرة ​​أخرى في الفترة من 2018 إلى 2020. كانت قدرة Mandrake على المرور دون أن يلاحظها أحد في ذلك الوقت نتيجة لبعض الخطوات الصارمة غير العادية للتهرب من الرادار. وشملت هذه الخطوات:

• لا يعمل في 90 دولة، بما في ذلك الدول التي تضم الاتحاد السوفييتي السابق
• توصيل حمولتها النهائية فقط إلى الضحايا الذين تم استهدافهم بشكل ضيق للغاية
• يحتوي على مفتاح قتل أطلق عليه المطورون اسم seppuku (شكل ياباني من الانتحار الطقسي) والذي يمحو تمامًا كل آثار البرامج الضارة
• تطبيقات وهمية كاملة الوظائف في فئات تشمل التمويل والسيارات والمركبات ومشغلات الفيديو والمحررين والفن والتصميم والإنتاجية
• إصلاحات سريعة للأخطاء المذكورة في التعليقات
• بروتوكول TLS تثبيت الشهادة لإخفاء الاتصالات مع خوادم القيادة والتحكم.

مختبئ في الظل

وقدرت شركة Bitdefender عدد الضحايا بعشرات الآلاف خلال الموجة من عام 2018 إلى عام 2020 و”ربما مئات الآلاف طوال الفترة الممتدة لأربع سنوات كاملة”.

بعد تقرير Bitdefender لعام 2020، يبدو أن التطبيقات المصابة بـ Mandrake اختفت من Play. الآن، أفادت شركة الأمن Kaspersky أن التطبيقات المصابة بـ Mandrake اختفت من Play. ظهرت مرة أخرى في عام 2022 وإلى جانب جولة جديدة من تطبيقات الخداع، قدم مشغلو Mandrake أيضًا العديد من التدابير لإخفاء سلوكهم الخبيث بشكل أفضل، وتجنب التحليل من “صناديق الحماية” التي يستخدمها الباحثون لتحديد البرامج الضارة ودراستها، ومكافحة الحماية من البرامج الضارة التي تم تقديمها في السنوات الأخيرة.

وكتب الباحثان في كاسبرسكي تاتيانا شيشكوفا وإيجور جولوفين: “تتطور برامج التجسس Mandrake بشكل ديناميكي، وتحسن أساليبها في الإخفاء، والتهرب من الحماية، وتجاوز آليات الدفاع الجديدة”. “بعد أن ظلت تطبيقات الحملة الأولى غير مكتشفة لمدة أربع سنوات، كانت الحملة الحالية مختبئة في الظل لمدة عامين، بينما كانت لا تزال متاحة للتنزيل على Google Play. يسلط هذا الضوء على المهارات الهائلة لمرتكبي التهديد، وأيضًا أن الضوابط الأكثر صرامة للتطبيقات قبل نشرها في الأسواق تترجم فقط إلى تهديدات أكثر تعقيدًا وأصعب في الكشف تتسلل إلى أسواق التطبيقات الرسمية.

الميزة الرئيسية لأحدث جيل من Mandrake هي طبقات متعددة من التعتيم مصممة لمنع التحليل من قبل الباحثين وتجاوز عملية الفحص التي يستخدمها Google Play لتحديد التطبيقات الضارة. ظهرت جميع التطبيقات الخمسة التي اكتشفتها Kaspersky لأول مرة في Play في عام 2022 وظلت متاحة لمدة عام على الأقل. تم تحديث أحدث تطبيق في 15 مارس وتم إزالته من سوق التطبيقات في وقت لاحق من ذلك الشهر. اعتبارًا من وقت سابق من هذا الشهر، لم يتم اكتشاف أي من التطبيقات على أنها ضارة من قبل أي مزود رئيسي للكشف عن البرامج الضارة.

كانت إحدى وسائل التعتيم هي نقل الوظائف الضارة إلى المكتبات الأصلية، والتي تم تعتيمها. في السابق، كانت Mandrake تخزن المنطق الضار للمرحلة الأولى في ما يُعرف بملف DEX للتطبيق، وهو نوع من الملفات التي يسهل تحليلها. من خلال تحويل الموقع إلى المكتبة الأصلية libopencv_dnn.so، يصبح من الصعب تحليل واكتشاف كود Mandrake لأن المكتبات الأصلية يصعب فحصها. ومن خلال تعتيم المكتبة الأصلية باستخدام مُعتِم OLLVMوكانت تطبيقات Mandrake أكثر سرية.

الغرض الرئيسي من Mandrake هو سرقة بيانات اعتماد المستخدم وتنزيل وتنفيذ التطبيقات الضارة في المرحلة التالية. ولكن هذه الإجراءات لا يتم تنفيذها إلا في حالات العدوى في المرحلة اللاحقة والتي يتم تقديمها فقط لعدد صغير من الأهداف المختارة بعناية. الطريقة الأساسية هي تسجيل الشاشة أثناء قيام الضحية بإدخال رمز المرور. يتم بدء تسجيل الشاشة بواسطة خادم تحكم يرسل أوامر مثل start_v أو start_i أو start_a. وأوضح الباحثون:

عندما يستقبل Mandrake الأمر start_v، تبدأ الخدمة وتحمل عنوان URL المحدد في عرض ويب مملوك للتطبيق باستخدام واجهة JavaScript مخصصة، يستخدمها التطبيق للتلاعب بصفحة الويب التي يقوم بتحميلها.

أثناء تحميل الصفحة، ينشئ التطبيق اتصالاً بمقبس ويب ويبدأ في التقاط لقطات شاشة للصفحة على فترات منتظمة، مع ترميزها إلى سلاسل أساسية 64 وإرسالها إلى خادم C2. يمكن للمهاجمين استخدام أوامر إضافية لضبط معدل الإطارات والجودة. يطلق الجهات الفاعلة المهددة على هذا الأمر اسم “vnc_stream”. في الوقت نفسه، يمكن لخادم C2 إرسال أوامر تحكم تجعل التطبيق ينفذ إجراءات، مثل التمرير إلى إحداثيات معينة، وتغيير حجم عرض الويب ودقته، والتبديل بين وضعي عرض الصفحة على سطح المكتب والجوال، وتمكين أو تعطيل تنفيذ JavaScript، وتغيير وكيل المستخدم، واستيراد أو تصدير ملفات تعريف الارتباط، والرجوع إلى الخلف والأمام، وتحديث الصفحة المحملة، وتكبير الصفحة المحملة وما إلى ذلك.

عندما يتلقى Mandrake أمر start_i، فإنه يقوم بتحميل عنوان URL في عرض ويب، ولكن بدلاً من بدء تدفق “VNC”، يبدأ خادم C2 في تسجيل الشاشة وحفظ السجل في ملف. عملية التسجيل مماثلة لسيناريو “VNC”، ولكن يتم حفظ لقطات الشاشة في ملف فيديو. أيضًا في هذا الوضع، ينتظر التطبيق حتى يدخل المستخدم بيانات اعتماده على صفحة الويب ثم يجمع ملفات تعريف الارتباط من عرض الويب.

يتيح الأمر start_a تشغيل إجراءات آلية في سياق الصفحة الحالية، مثل التمرير والنقر وما إلى ذلك. إذا كانت هذه هي الحالة، يقوم Mandrake بتنزيل سيناريوهات الأتمتة من عنوان URL المحدد في خيارات الأمر. في هذا الوضع، يتم تسجيل الشاشة أيضًا.

يمكن تحميل تسجيلات الشاشة إلى C2 باستخدام الأوامر upload_i أو upload_d.

ولم تقدم كاسبرسكي ولا بت ديفيندر أي معلومات عن المجموعة أو دوافعها لنشر برنامج تجسس وسرقة بيانات اعتماد متطور مثل ماندريك. وتظهر التطبيقات التي اكتشفتها كاسبرسكي في الجدول أدناه. وقد قامت جوجل منذ ذلك الحين بإزالتها من متجر جوجل بلاي. ويمكن العثور على مؤشرات إضافية للاختراق في منشور كاسبرسكي.