最近,韓國多位明星手機被黑,被黑手機都是三星的安卓機,手機安全問題逐漸被大家重視。
儘管用戶隱私意識逐漸增強,還是敵不過黑客們變著法來竊取信息,這不,安卓用戶又要睡不安生了。
最近,羅馬尼亞殺毒軟體Bitdefender的研究人員發現了一種多階段安卓間諜軟體(multi-stage Android spyware),自2016年起就一直潛伏在安卓後臺,這個間諜軟體為Mandrake,它能「完全控制手機設備」,竊取信息和加密貨幣,侵入銀行帳戶,甚至通過恢復出廠設置來掩蓋其蹤跡。
不過,如果你沒什麼錢,那麼大可不必擔心,據數據顯示,這款間諜軟體非常「嫌貧愛富」,只有在背後的操作人判斷受害者有足夠的錢值得竊取時,才會被激活,目前已經感染了成千上萬的用戶。
如今,已確認感染了Mandrake的應用已從谷歌商店中刪除,但可以肯定的是,還有一些谷歌無法肯定是否感染的應用仍然被保留了下來。
因此谷歌建議,為避免更多用戶感染這種病毒,請自行確保手機設置為不接受來自「未知來源」的應用程式,最好再安裝一些殺毒軟體。
從安全到被黑,發生悲劇只要三步
從應用程式侵入到完全控制你的手機,Mandrake只需三步就能完成,期間用戶很少能察覺到。
Mandrake侵入手機的第一階段,被稱為「降臨」(dropper),以看起來像無害的應用程式的形式出現,同時也執行一些正常的操作。Bitdefender在谷歌商店中以CoinCast,Currency XE Converter,Car News,Horoskope,SnapTune Vid,Abfix和Office Scanner為搜索詞,確定了其中一些。
儘管所有Mandrake相關的內容都已從谷歌商店中刪除,但Tom's Guide發現在Facebook和YouTube上仍然會有相關內容的顯示。
如果不小心安裝了這些看似無害的應用程式,它就會馬上開始收集有關用戶手機設備和周圍環境的信息,但此時它還不會做任何可怕的事情。在後續使用中,如果該應用不能很好地實現廣告宣稱的功能,當用戶去谷歌商店上打差評,惡意軟體的操作者甚至還會出面道歉並承諾改進。
除此之外,第一階段還會引誘你授權從谷歌商店外部安裝應用,隨即進入第二階段——「加載程序」(loader),為避免引起用戶懷疑,該程序自稱為「安卓系統」。「加載程序」會潛伏在後臺,收集更多有關你的信息,發送給惡意軟體操作員,直到他們確定你是否足夠有錢。
如果你成為他們的攻擊對象,那麼加載程序將進入第三階段,即「核心Mandrake惡意軟體」(Core)。
Bitdefender寫道:「考慮到間諜平臺的複雜性,我們假設每次攻擊都是針對性的,就像外科手術那樣具有精確度,而且是手動操作而非自動化執行。」
「我們估計當前Mandrake間諜軟體浪潮中的受害者有數萬人,從2016年至今這4年時間裡,受害者可能達到了數十萬。」
Mandrake的「儀式性自殺」
三步竊取信息已經足夠可怕了,但這還沒完,當遇到「危險」時,Mandrake還會自動恢復手機至出廠設置,保證不會暴露自己。
在引誘用戶時,Mandrake通過在屏幕上放置偽造的覆蓋窗口來欺騙用戶,例如必須同意的用戶許可協議,這些都是針對不同手機、屏幕尺寸、語言和安卓版本而量身定製的,當用戶點擊「確定」接受協議時,就是授予了Mandrake管理特權。
授權成功後,Mandrake會將所有簡訊轉發給攻擊者,將通話記錄轉發給其他號碼,阻止呼叫功能,安裝或刪除應用程式,竊取聯繫人列表,隱藏通知,記錄屏幕活動,竊取Facebook和在線銀行帳戶的密碼,創建網絡釣魚頁面來竊取Gmail和亞馬遜的資質證明,跟蹤你的位置。
「coup de grâce」是內置於名為「seppuku(切腹)」惡意軟體中的命令,該命令以一種日本儀式性自殺的形式命名,命令執行後,便將進行返廠級別的設備清洗,從而刪除惡意軟體的所有痕跡以及所有用戶數據。
而且,由於之前授權了Mandrake管理權限,即使是萬能的重啟或卸載第一階段應用程式,也難以保證擺脫核心惡意軟體的攻擊。
Mandrake的四年進化簡史
從2016年至今,Mandrake潛伏的這四年也是不斷進化的四年。
2016年,Mandrake首版oxide面世,主要由一個模仿Adobe的初始應用程式組成,不過此時中心內核部分已經初步確定。同年,第二版briar出現,在第二版中沒有增加額外的功能,不過要注意的是,從第二版開始就奠定了其模仿通用安卓應用程式的傳統。
2016年末,第三版ricinus出現,以第三版為基礎,Mandrake一直到今天仍然在不斷更新發展。在第三版中,Mandrake已經能夠實現諸如屏蔽手機呼叫和過濾SMS歷史記錄的功能。
截止到此時,Mandrake內部只有兩個核心,一個初始立足點示例(initial foothold sample)和下載核心(downloaded core)。
一年多後,在2018年7月,darkmatter掀起第二波浪潮,研究人員表示,尚不清楚他們為什麼要等這麼久,但可以肯定的是要升級系統是需要花費時間的。
這時,Mandrake將戰場引向了谷歌商店,他們開始在谷歌商店部署樣本,規範結構,最終形成了上述「加載程序「和核心Mandrake惡意軟體」兩個步驟。「加載程序」是通過谷歌商店分發的,這與普通應用程式一樣,但同時Mandrake還具有下載和加載核心附加程序的功能。
在這個階段,Mandrake進化得相當快,但ricinus沒有進一步發展下去,至少從收集的樣本來看是這樣的。這種結構沒有持續下去的原因之一,或許在於留下了太多可被追蹤到的痕跡。
2019年初,一種新的組件類型被引入——「降臨」,至此,完整的Mandrake就構建成功。
對這些應用程式來說,代碼自然是越少越好,只需要滿足下載一個加載程序組件並創建受害者的初始配置文件就足矣,Mandrake在這方面就做得十分完美。
「嫌貧愛富」:一切都是為了錢
這種精巧的能力,以及有針對性的攻擊,通常會被認為是國家級的間諜活動,但Bitdefender的研究人員認為,更多的證據表明,這只是純犯罪驅動的金錢掠奪。
比如,Bitdefender假設到,按照俄羅斯的標準模式,Mandrake不會攻擊俄羅斯或前蘇聯的安卓用戶,但Mandrake同時還避開了整個非洲、所有講阿拉伯語的國家和其他許多貧窮國家。同時,由於未知的原因,它也避免將其自身安裝在裝有Verizon SIM卡或中國頂級移動運營商的SIM卡的電話上。
目前可以確定的是,Mandrake的主要目標是澳大利亞,其次是北美,西歐(和波蘭)以及南美一些較富裕地區。
對於這些地區的富人們,Bitdefender也給出了值得參考的內容:「刪除Mandrake的唯一方法是在安全模式下啟動設備,刪除設備管理員的特殊權限並手動卸載。」
當這類間諜軟體越來越狡猾地侵入我們的日常生活,我們究竟能怎樣確保自己的信息安全?
往更深了說,這類問題究竟是技術作為雙刃劍所不可避免的弊端,或是將在某一天能夠被技術本身所解決,在未來技術的不斷發展中,我們也希望看到一種答案的可能形式。
Bitdefende報告全文