Bitdefender

Bitdefender finder sofistikeret spyware, der har holdt sig skjult i fire år

Del

Bitdefender har fundet en sofistikeret spyware, der sandsynligvis har angrebet mere end 100.000 ofre. Hvem der end står bag, har holdt spywaren skjult ved udelukkende at gå målrettet efter ofre, som bagmændene har fundet interessante og værdifulde.

Lande ramt af Mandrake ifølge Bitdefenders telemetri. Foto: Bitdefender
Lande ramt af Mandrake ifølge Bitdefenders telemetri. Foto: Bitdefender

Spywaren, som Bitdefender har navngivet ‘Mandrake’, er en kompleks platform rettet mod Android-enheder. Spywaren, der blev fundet i starten af 2020, bruger apps fra Googles Play-butik til at inficere en enhed. Men dette er kun den første fase af et sofistikeret angreb, der primært har ramt enheder i Europa, Australien og Nordamerika.

Fuldt funktionelle apps lokker ofrene ind

Den første fase af angrebet består af apps i Googles Play-butik. Bitdefender har opsporet syv forskellige apps, hvoraf nogle af dem har tusindvis af downloads, indenfor en række forskellige kategorier, bl.a. finans og design. De hedder:

  • Abfix
  • CoinCast
  • SnapTune Vid
  • Currency XE Converter
  • Office Scanner
  • Horoskope
  • Car News

Alle er de skabt af Mandrakes bagmænd og inficerer ofrets enhed, når de bliver downloadet. For at omgå Google Plays sikkerhedssystem, aktiverer hackerne dog først det fulde angreb i forskellige faser, efter at app’en er blevet downloadet.

Det særlige ved disse apps er, at nogle af dem har tilhørende hjemmesider, sociale medie-sider, som Facebook og Twitter, eller endda en Youtube-kanal. Alt sammen for at overbevise brugerne om, at app’en er troværdig. Normalt fabrikerer hackere falske anmeldelser og kommentarer til deres apps i Google Play for at øge troværdigheden.

I reglen skal en bruger give en app tilladelse til at kunne gøre forskellige ting på enheden, f.eks. at afholde den fra at gå i dvale. Men her manipulerer hackerne brugerne ved at gemme ‘accepter-knappen’ bag andet indhold på skærmen, som brugeren bliver lokket til at trykke på, hvorved appen får tilladelse til alt på enheden.

Derudover er disse apps fuldt ud funktionelle, de bliver opdateret med nye funktioner, og der bliver tilmed reageret på negative anmeldelser, hvor bagmændene retter de problemer, som brugerne rapporterer. På den måde undgår hackerne, at ofrene opdager, at de er blevet angrebet, hvilket er vigtigt ift. den næste fase.

Udspionerer ofrene for at fastslå værdi af angreb

I den næste fase udspionerer hackerne deres ofre. Mandrake giver bagmændene fuld kontrol over den inficerede enhed, som de kan udnytte til eksempelvis at læse SMS’er, optage hvad der sker på skærmen og følge enheden via dens GPS.

Al den viden bruger hackerne til at beslutte sig for, om ofret er interessant for dem eller ej. Hvis de ser en værdi i ofret, iværksættes den næste fase. Hvis ikke hackerne finder ofret interessant, går Mandrake ikke videre til næste fase af angrebet.

For de ofre, som hackerne finder værdifulde nok, vil et komplet angreb blive iværksat, hvor bagmændene bl.a. kan stjæle fortrolige oplysninger, udføre pengetransaktioner, afpresse ofret eller udføre et målrettet phishing-angreb.

Har fløjet under radaren i fire år

Da bagmændene har været meget påpasselige med, hvem de har udført de komplette angreb imod, så er det lykkedes dem at flyve under radaren indtil nu, fortæller Bitdefenders sikkerhedsekspert, Bogdan Botezatu: “Ved at være meget målrettede og samtidig slette deres spor, er det lykkedes hackerne at holde sig under radaren. De har tydeligvis lagt en strategi, hvor det ikke handler om at inficere så mange som muligt, men, for bagmændene, så værdifulde ofre som muligt.”

“Det kan vi se ved, at spywaren er konstrueret således, at den ikke vil virke, hvis den bliver installeret af brugere i stater med lav indkomst, i afrikanske nationer, lande i det tidligere Sovjetunionen og lande, hvor flertallet taler arabisk. I alt er der ca. 90 lande, hvor Mandrake ikke vil inficere enheder. Dertil kommer en lang række af andre indstillinger, alle sammen med det formål at holde Mandrake skjult for ofre såvel som for sikkerhedsfirmaers søgelys.”

Angreb på individuel basis med økonomisk motivation

Bogdan fortsætter: “Kompleksiteten af Mandrake peger på, at hvert angreb er udført på individuel basis, hvor hackerne angriber ofrene manuelt. Derfor mener vi, at bagmændene har vurderet hver enkelt inficerede enhed, og at alle implicerede ofre har været udsat for datatyveri i et større eller mindre omfang.”

“Selvom Mandrake indeholder alt, hvad en professionel spyware-platform skal bruge, mener vi, at bagmændene er økonomisk motiverede, i modsætning til andre typer af spyware, der oftest bruges af statsaktører. I vores undersøgelse har vi fundet, at Mandrake bliver brugt til at udføre phishing-angreb rettet mod forskellige finans- og shopping-applikationer, f.eks. bank-apps, investerings-apps, Amazons shopping-app og betalings-apps som PayPal. Det er værd at vide, at Mandrake desværre gør det let at omgå den totrinsbekræftelse, som nogle banker bruger som sikkerhedsforanstaltning.”

Har man hentet en af de Mandrake-inficerende apps, er der kun én måde at fjerne appen på, forklarer Bogdan: “Start enheden i fejlsikret tilstand, deaktiver appens tilladelse som enhedsadministrator og slet derefter appen manuelt. Derudover er det altid en god idé, at have en sikkerhedsløsning installeret.”

Yderligere information om Mandrake og Bitdefenders research, kan findes her: https://labs.bitdefender.com/2020/05/mandrake-owning-android-devices-since-2016

Nøgleord

Kontakter

Thomas Endelt, Frontpage PR & Communications
thomas.endelt@frontpage.dk
telefon: 50705334

Billeder

Lande ramt af Mandrake ifølge Bitdefenders telemetri. Foto: Bitdefender
Lande ramt af Mandrake ifølge Bitdefenders telemetri. Foto: Bitdefender
Download

Links

Information om Bitdefender

Bitdefender
Bitdefender



Bitdefender er en global, førende IT-sikkerhedsvirksomhed, der beskytter over 500 millioner systemer i mere end 150 lande. Siden 2001 har Bitdefenders Innovation konsekvent leveret prisbelønnede sikkerhedsprodukter samt indsigter i trusler til det smarte, forbundne hjem, mobilbrugere, moderne virksomheder og deres netværk, enheder, datacentre og Cloud-infrastruktur. I dag er Bitdefender og Bitdefender Labs også den fortrukne leverandør, eftersom Bitdefenders teknologi er indbygget i over 38% af verdens sikkerhedsløsninger. Bitdefender er anerkendt af industrien, respekteret af leverandører og rost af kunder. Bitdefender er IT-sikkerhedsfirmaet, du kan stole på.

www.bitdefender.com

 

 

Følg pressemeddelelser fra Bitdefender

Skriv dig op her, og modtag pressemeddelelser på e-mail. Indtast din e-mail, klik på abonner, og følg instruktionerne i den udsendte e-mail.

Flere pressemeddelelser fra Bitdefender

Kæmpe stigning i globale ransomware- og cyberangreb mod sundhedssektoren under pandemien15.5.2020 06:00:00 CESTPressemeddelelse

Samtidig med at sundhedsvæsenets systemer er under konstant belastning midt i SARS-CoV-2- -pandemien, er hospitaler og sundhedsfaciliteter over hele verden også blevet ramt af en bølge af cyberangreb, herunder ransomware-angreb. Der er allerede udsendt officielle advarsler om, at hospitaler, regeringer og universiteter bør være ekstra bevidste om risikoen for at miste data og adgang til kritiske systemer, og Bitdefenders telemetri har da også afsløret, at antallet af cyberattacks og ransomware-hændelser, der direkte er rettet mod sundhedsvæsenet, er steget betydeligt i løbet af de seneste måneder.