يعد Mandrake تهديدًا إلكترونيًا متكررًا في النظام البيئي للهواتف المحمولة الذي يعمل بنظام Android. اكتشف الباحثون التطبيقات المصابة بـ Mandrake منذ بضع سنوات، والآن يبدو أن البرامج الضارة قد عادت من جديد، حيث تستخدم تقنيات أكثر تطوراً للتهرب من أحدث وسائل الحماية الأمنية.
تم اكتشاف عائلة البرامج الضارة Mandrake لأول مرة بواسطة Bitdefender في عام 2020. واكتشفت شركة الأمن السيبراني الرومانية التهديد خلال موجتين كبيرتين من العدوى، الأولى في التطبيقات المزيفة المتاحة للتنزيل على Google Play في 2016-2017، والثانية في 2018-2020. الميزة الأكثر بروزًا في Mandrake هي قدرته على الانزلاق تحت رادار Google وإصابة أعداد كبيرة من المستخدمين، والتي تشير التقديرات إلى أنها أصابت "مئات الآلاف" من المستخدمين على مدار أربع سنوات.
استخدمت الموجات القليلة الأولى من عدوى اللفاح عدة حيل لإخفاء وجودها. تم تصميم البرامج الضارة لتوصيل حمولتها الضارة النهائية إلى ضحايا محددين ومستهدفين للغاية، كما أنها تحتوي على مفتاح الموت "seppuku" القادر على محو جميع آثار العدوى الموجودة على الجهاز.
تعد التطبيقات المزيفة التي تخفي برامج Mandrake الضارة بمثابة "طُعم" تعمل بكامل طاقتها في فئات تشمل التمويل والسيارات ومشغلات الفيديو وأنواع التطبيقات الشائعة الأخرى. قام مجرمو الإنترنت، وربما مطورو الطرف الثالث المعينون لهذه المهمة، بإصلاح نقاط الضعف التي أبلغ عنها المستخدمون بسرعة في قسم تعليقات PlayStore. بالإضافة إلى ذلك، تُستخدم شهادات TLS لإخفاء الاتصالات بين البرامج الضارة وخوادم القيادة والتحكم (C&C).
يبدو أن عائلة البرامج الضارة Mandrake قد اختفت من نظام Android البيئي بعد أن أودت بأول ضحاياها. والآن، اكتشف Kaspersky موجة جديدة من التطبيقات المصابة التي يصعب اكتشافها وتحليلها أكثر من ذي قبل. تستخدم هذه البرامج الضارة من "الجيل الجديد" طبقات متعددة من تشويش التعليمات البرمجية لمنع التحليل وتجاوز خوارزميات المسح الخاصة بـ Google، بالإضافة إلى اتخاذ إجراءات مضادة خاصة ضد تقنيات التحليل المستندة إلى وضع الحماية.
وأشار كاسبرسكي إلى أن مؤلفي Mandrake يمتلكون مهارات ترميز متقدمة، مما يجعل اكتشاف البرامج الضارة والبحث عنها أكثر صعوبة. وفقًا لشركة الأمن الروسية، تم تحديث أحدث تطبيق يحتوي على Mandrake في 15 مارس وإزالته من متجر التطبيقات في نهاية ذلك الشهر. ولا يمكن لشركة Google ولا الشركات الخارجية تصنيف هذه التطبيقات الجديدة على أنها برامج ضارة.
على الرغم من هذه الموجة الأخيرة من التطبيقات الخادعة، يبدو أن الغرض الرئيسي لماندريك لم يتغير. تم تصميم البرامج الضارة لسرقة بيانات اعتماد المستخدمين عن طريق تسجيل المحتوى على شاشة الهاتف وإرسال هذه التسجيلات إلى خادم C&C. ويمكنه أيضًا تنزيل حمولات ضارة أخرى وتنفيذها.
ولم تقدم كاسبرسكي أي معلومات أو تكهنات أخرى حول مؤلف لعبة ماندريك أو دوافعه. اكتشف Kaspersky خمسة تطبيقات تحتوي على برامج ضارة قامت Google بإزالتها في النهاية من متجر Play.
تحميل ورقة بيضاء