Bitdefender finder sofistikeret spyware, der har holdt sig skjult i fire år

Spywaren, som Bitdefender har navngivet ‘Mandrake’, er en kompleks platform rettet mod Android-enheder. Spywaren, der blev fundet i starten af 2020, bruger apps fra Googles Play-butik til at inficere en enhed. Men dette er kun den første fase af et sofistikeret angreb, der primært har ramt enheder i Europa, Australien og Nordamerika.

Fuldt funktionelle apps lokker ofrene ind

Den første fase af angrebet består af apps i Googles Play-butik. Bitdefender har opsporet syv forskellige apps, hvoraf nogle af dem har tusindvis af downloads, indenfor en række forskellige kategorier, bl.a. finans og design. De hedder:

• Abfix
• CoinCast
• SnapTune Vid
• Currency XE Converter
• Office Scanner
• Horoskope
• Car News

Alle er de skabt af Mandrakes bagmænd og inficerer ofrets enhed, når de bliver downloadet. For at omgå Google Plays sikkerhedssystem, aktiverer hackerne dog først det fulde angreb i forskellige faser, efter at app’en er blevet downloadet.

Det særlige ved disse apps er, at nogle af dem har tilhørende hjemmesider, sociale medie-sider, som Facebook og Twitter, eller endda en Youtube-kanal. Alt sammen for at overbevise brugerne om, at app’en er troværdig. Normalt fabrikerer hackere falske anmeldelser og kommentarer til deres apps i Google Play for at øge troværdigheden.

I reglen skal en bruger give en app tilladelse til at kunne gøre forskellige ting på enheden, f.eks. at afholde den fra at gå i dvale. Men her manipulerer hackerne brugerne ved at gemme ‘accepter-knappen’ bag andet indhold på skærmen, som brugeren bliver lokket til at trykke på, hvorved appen får tilladelse til alt på enheden.

Derudover er disse apps fuldt ud funktionelle, de bliver opdateret med nye funktioner, og der bliver tilmed reageret på negative anmeldelser, hvor bagmændene retter de problemer, som brugerne rapporterer. På den måde undgår hackerne, at ofrene opdager, at de er blevet angrebet, hvilket er vigtigt ift. den næste fase.

Udspionerer ofrene for at fastslå værdi af angreb

I den næste fase udspionerer hackerne deres ofre. Mandrake giver bagmændene fuld kontrol over den inficerede enhed, som de kan udnytte til eksempelvis at læse SMS’er, optage hvad der sker på skærmen og følge enheden via dens GPS.

Al den viden bruger hackerne til at beslutte sig for, om ofret er interessant for dem eller ej. Hvis de ser en værdi i ofret, iværksættes den næste fase. Hvis ikke hackerne finder ofret interessant, går Mandrake ikke videre til næste fase af angrebet.

For de ofre, som hackerne finder værdifulde nok, vil et komplet angreb blive iværksat, hvor bagmændene bl.a. kan stjæle fortrolige oplysninger, udføre pengetransaktioner, afpresse ofret eller udføre et målrettet phishing-angreb.

Har fløjet under radaren i fire år

Da bagmændene har været meget påpasselige med, hvem de har udført de komplette angreb imod, så er det lykkedes dem at flyve under radaren indtil nu, fortæller Bitdefenders sikkerhedsekspert, Bogdan Botezatu: “Ved at være meget målrettede og samtidig slette deres spor, er det lykkedes hackerne at holde sig under radaren. De har tydeligvis lagt en strategi, hvor det ikke handler om at inficere så mange som muligt, men, for bagmændene, så værdifulde ofre som muligt.”

“Det kan vi se ved, at spywaren er konstrueret således, at den ikke vil virke, hvis den bliver installeret af brugere i stater med lav indkomst, i afrikanske nationer, lande i det tidligere Sovjetunionen og lande, hvor flertallet taler arabisk. I alt er der ca. 90 lande, hvor Mandrake ikke vil inficere enheder. Dertil kommer en lang række af andre indstillinger, alle sammen med det formål at holde Mandrake skjult for ofre såvel som for sikkerhedsfirmaers søgelys.”

Angreb på individuel basis med økonomisk motivation

Bogdan fortsætter: “Kompleksiteten af Mandrake peger på, at hvert angreb er udført på individuel basis, hvor hackerne angriber ofrene manuelt. Derfor mener vi, at bagmændene har vurderet hver enkelt inficerede enhed, og at alle implicerede ofre har været udsat for datatyveri i et større eller mindre omfang.”

“Selvom Mandrake indeholder alt, hvad en professionel spyware-platform skal bruge, mener vi, at bagmændene er økonomisk motiverede, i modsætning til andre typer af spyware, der oftest bruges af statsaktører. I vores undersøgelse har vi fundet, at Mandrake bliver brugt til at udføre phishing-angreb rettet mod forskellige finans- og shopping-applikationer, f.eks. bank-apps, investerings-apps, Amazons shopping-app og betalings-apps som PayPal. Det er værd at vide, at Mandrake desværre gør det let at omgå den totrinsbekræftelse, som nogle banker bruger som sikkerhedsforanstaltning.”

Har man hentet en af de Mandrake-inficerende apps, er der kun én måde at fjerne appen på, forklarer Bogdan: “Start enheden i fejlsikret tilstand, deaktiver appens tilladelse som enhedsadministrator og slet derefter appen manuelt. Derudover er det altid en god idé, at have en sikkerhedsløsning installeret.”

Yderligere information om Mandrake og Bitdefenders research, kan findes her: https://labs.bitdefender.com/2020/05/mandrake-owning-android-devices-since-2016