潜伏4年：安卓间谍软件伺机操控富人的手机，还会“匿踪”

来源:大数据摘要

最近，韩国许多明星手机遭到黑客攻击。被黑客攻击的手机是三星的安卓手机。手机的安全性已经逐渐受到重视。

尽管用户的隐私意识正在逐渐增强，但他们仍然无法击败改变了窃取信息方法的黑客。事实并非如此。安卓用户又要睡觉了。

最近，罗马尼亚反病毒软件Bitdefender的研究人员发现了一种多阶段安卓间谍软件，该软件自2016年以来一直潜伏在安卓背后。这种间谍软件是Mandrake，它可以“完全控制手机设备”，窃取信息和加密货币，入侵银行账户，甚至通过恢复工厂设置来掩盖其踪迹。

然而，如果你没有很多钱，你不必担心。据数据显示，这款间谍软件非常“穷得不能爱富”。只有当它背后的操作者判断受害者有足够的钱去偷时，它才会被激活。目前，它已经感染了成千上万的用户。

今天，已经被证实感染了曼德拉草的应用程序已经从谷歌的商店中移除，但是可以肯定的是，仍然有一些应用程序谷歌不确定它们是否仍然被感染。

因此，谷歌建议，为了防止更多用户感染这种病毒，请确保您的手机设置为不接受来自“未知来源”的应用程序，最好安装一些防病毒软件。

从安全到黑暗，悲剧只需要三个步骤

Mandrake从入侵应用程序到完全控制您的手机只需要三个步骤，在此期间用户很少注意到它。

曼德拉克入侵手机的第一阶段被称为“滴管”，在执行一些正常操作时，它看起来是一个无害的应用程序。Bitdefender在谷歌商店中使用CoinCast、currentxeconverter、Car News、Horoskope、SnapTune Vid、Abfix和Office Scanner作为搜索术语来识别其中一些内容。

尽管所有与曼德拉草相关的内容都已从谷歌商店中删除，但汤姆指南发现仍会有相关内容显示在脸书和YouTube上。

如果这些看似无害的应用程序被意外安装，它将立即开始收集关于用户手机设备和周围环境的信息，但此时它不会做任何可怕的事情。在后续使用中，如果应用程序不能很好地实现广告功能，当用户去谷歌商店发表不好的评论时，恶意软件运营商甚至会道歉并承诺改进。

此外，第一阶段将引导您授权在谷歌商店外安装应用程序，然后进入第二阶段“加载程序”，它自称为“安卓”，以避免引起用户的怀疑。“加载程序”将潜伏在后台，收集更多关于你的信息，并将其发送给恶意软件运营商，直到他们确信你有足够的钱。

如果你成为他们攻击的目标，加载程序将进入第三阶段，即“核心Mandrake恶意软件”。

Bitdefender写道:“考虑到间谍平台的复杂性，我们假设每一次攻击都是有针对性的，和手术一样准确，并且是手动执行的，而不是自动执行的。”

“我们估计，在当前的曼德拉克间谍软件浪潮中，有成千上万的受害者。从2016年到现在的四年里，受害者人数可能会达到几十万。”

曼德拉克的“仪式自杀”

窃取信息的三个步骤已经够可怕了，但这还没有结束。遇到“危险”时，Mandrake会自动将手机恢复到出厂设置，以确保手机不会暴露。

在引诱用户时，Mandrake通过在屏幕上放置虚假的覆盖窗口来欺骗用户，比如必须达成一致的用户许可协议，这些协议针对不同的手机、屏幕尺寸、语言和安卓版本而定制。当用户单击“确定”接受协议时，Mandrake被授予管理权限。

授权成功后，Mandrake会将所有短信转发给攻击者，将通话记录转发给其他号码，阻止通话功能，安装或删除应用程序，窃取联系人列表，隐藏通知，记录屏幕活动，窃取脸谱网和网上银行帐户的密码，创建仿冒网页以窃取Gmail和亚马逊的凭据，并跟踪您的位置。

“政变”是一个内置在恶意软件“seppuku”中的命令。这一命令是以日本的自杀仪式命名的。命令执行后，设备将在工厂返回级别进行清理，从而消除恶意软件的所有痕迹和所有用户数据。

此外，由于Mandrake的管理权限已事先获得授权，即使第一阶段应用程序以通用方式重新启动或卸载，也很难确保它不受核心恶意软件的攻击。

曼德拉的四年进化史

从2016年至今，曼德拉的潜在四年也是四年的持续进化。

2016年，Mandrake的第一个氧化物版本问世，主要由一个模仿奥多比的初始应用程序组成，但核心部分已经初步确定。同年，briar的第二版出现了，第二版中没有增加额外的功能。然而，应该注意的是，从第二版开始，模仿通用安卓应用的传统就已经确立。

2016年底，蓖麻毒的第三版出现了。在第三版的基础上，曼德拉草一直不断更新和发展到今天。在第三版中，Mandrake已经能够实现阻止手机通话和过滤短信历史等功能。

到目前为止，Mandrake只有两个内核，一个初始立足点样本和一个下载的内核。

一年多后，2018年7月，暗物质发起了第二波浪潮。研究人员表示，不清楚他们为什么要等这么长时间，但升级该系统肯定需要时间。

这时，曼德拉克带领战场来到了谷歌商店。他们开始在谷歌商店部署样本并标准化结构，最终形成了上述两个步骤的“加载器”和核心的Mandrake恶意软件。“加载器”通过谷歌商店发布，与普通应用程序一样，但Mandrake也有下载和加载核心插件的功能。

曼德拉草在这个阶段进化得相当快，但是蓖麻没有进一步发展，至少根据收集的样本。这种结构不能持久的原因之一可能是它留下了太多可追踪的痕迹。

2019年初，推出了一种新的组件类型——“Coming”。因此，完整的曼德拉草被成功建造。

对于这些应用程序，代码越少越好。它需要做的只是下载一个加载器组件，并创建受害者的初始配置文件。曼德拉在这方面是完美的。

“穷得不能爱富”:一切都是为了钱

这种微妙的能力和有针对性的攻击通常被视为国家级的间谍活动，但Bitdefender的研究人员认为，更多的证据表明，这纯粹是犯罪驱动的金钱掠夺。

例如，根据俄罗斯的标准模式，Bitdefender认为Mandrake不会攻击俄罗斯或前苏联的安卓用户，但Mandrake也避开了整个非洲、所有阿拉伯语国家和许多其他贫穷国家。与此同时，出于未知原因，它也避免安装在配有威瑞森SIM卡或中国顶级移动运营商SIM卡的手机上。

目前，可以确定曼德拉的主要目标是澳大利亚，其次是北美、西欧(和波兰)和南美一些较富裕的地区。

对于这些领域的富人来说，Bitdefender也给出了一些值得参考的东西:“删除Mandrake的唯一方法是在安全模式下启动设备，删除设备管理器的特殊权限，然后手动卸载。”

当这种间谍软件越来越狡猾地侵入我们的日常生活时，我们如何保证我们的信息安全？

此外，无论这些问题是技术作为一把双刃剑不可避免的缺点，还是有一天将由技术本身解决，我们也希望在未来技术的不断发展中看到一种可能的答案。

本文由 在线网速测试 整理编辑，转载请注明出处，原文链接：https://www.wangsu123.cn/news/7375.html。