Mandrake olarak bilinen Android casus yazılımı, yeni bir varyantla önemli bir canlanma yaşadı. Bu Mandrake casus yazılımı, Google Play’de beş görünüşte zararsız uygulamada gizlenmiş olarak keşfedildi. Toplamda 32.000’den fazla kez indirilen bu uygulamalar, neredeyse iki yıl boyunca çoğu güvenlik satıcısı tarafından tespit edilemedi.
Mandrake casus yazılımı ilk olarak 2016’da ortaya çıktı ve gelişmiş casusluk yetenekleri 2020’de manşetlere çıktı. Bitdefender’ın ayrıntılı analizi, Mandrake’in kapsamlı casusluk yapabilen güçlü bir Android casus yazılımı parçası olduğunu ortaya koydu. Ancak son raporlar, Mandrake’in evrimleşerek tespit edilmekten kaçınmak için daha gelişmiş kaçınma teknikleri kullandığını vurguluyor.
Mandrake Casus Yazılım Kampanyasına Genel Bakış
Kaspersky tarafından ortaya çıkarılan yeni Mandrake Android casus yazılım çeşidi, gelişmiş karartma ve kaçınma yöntemleri sergiliyor. Bunlar arasında kötü amaçlı işlevleri karartılmış yerel kütüphanelere taşımak ve komut ve kontrol (C2) iletişimleri için sertifika sabitleme kullanmak yer alıyor. Mandrake’in bu güncellenmiş sürümü, 2022’de Google Play’e gönderilen beş uygulamaya gömüldü ve 2024’ün başlarına kadar gizli kaldı.
Mandrake casus yazılımının Google Play’e sızması beş belirli uygulamaya kadar izlendi. Bunlar arasında it9042 tarafından geliştirilen ve 28 Nisan 2022 ile 15 Mart 2024 arasında önemli sayıda indirme (30.305) gören bir dosya paylaşım uygulaması olan AirFS de var. Başka bir uygulama olan Astro Explorer, shevabad tarafından geliştirildi ve 30 Mayıs 2022 ile 6 Haziran 2023 arasında 718 indirme kaydetti.
kodaslda tarafından geliştirilen Amber, 27 Şubat 2022 ile 19 Ağustos 2023 arasında 19 indirme ile daha mütevazı bir erişime sahipti. Benzer şekilde, yine shevabad tarafından geliştirilen CryptoPulsing, 2 Kasım 2022 ile 6 Haziran 2023 arasında 790 kez indirildi. Son olarak, kodaslda tarafından geliştirilen bir başka uygulama olan Brain Matrix, 27 Nisan 2022 ile 6 Haziran 2023 arasında 259 indirme topladı.
Bulaşan uygulamaların yayılımı özellikle küresel çapta oldu; enfeksiyonların çoğu Kanada, Almanya, İtalya, Meksika, İspanya, Peru ve İngiltere gibi ülkelerde görüldü.
Mandrake Casus Yazılımının Evrimi
Mandrake casus yazılımının son sürümü, öncüllerine kıyasla kaçınma tekniklerinde önemli bir ilerlemeyi temsil ediyor. Nispeten basit kötü amaçlı yazılım dağıtım yöntemlerine dayanan önceki yinelemelerin aksine, bu yeni varyant birkaç karmaşık taktiği içeriyor.
En dikkat çekici iyileştirmelerden biri gelişmiş karartma yöntemleridir. Mevcut Mandrake varyantı, kötü amaçlı işlemlerini gizlemek için libopencv_dnn.so ve libopencv_java3.so gibi yoğun şekilde karartılmış yerel kütüphaneler kullanır. Bu kütüphaneler, kötü amaçlı yazılımın sonraki aşamalarını yönetmede ve şifresini çözmede önemli bir rol oynar.
Gelişmiş karartmaya ek olarak, Mandrake artık komut ve kontrol (C2) sunucularıyla iletişimlerini güvence altına almak için sertifika sabitlemeyi kullanıyor. Bu teknik, SSL trafiğinin kesilmesini önleyerek güvenlik analistlerinin iletilen verileri izlemesini veya analiz etmesini zorlaştırıyor. Casus yazılım ayrıca, artık hata ayıklama araçları ve emülatör ortamları için kontroller içeren sandbox kaçınma tekniklerini de geliştirdi. Bu geliştirmeler, analistlerin casus yazılımı tespit etmesini ve analiz etmesini giderek zorlaştırıyor.
Mandrake çok aşamalı bir enfeksiyon süreciyle çalışır. Dropper olarak bilinen ilk aşama, yerel kütüphanelerin içine gömülüdür ve sonraki aşamaları şifresini çözmekten ve yüklemekten sorumludur. İkinci aşama, yükleyici, daha fazla şifre çözmeyi yönetir ve çekirdek bileşen için ortamı hazırlar. Çekirdek aşama, veri hırsızlığı ve gözetim dahil olmak üzere Mandrake’in birincil kötü amaçlı işlevlerini içerir.
Mandrake’in gerçekleştirebileceği çeşitli kötü amaçlı aktiviteler arasında ekran kaydı ve otomatik eylemler yer alır. Casus yazılım, ekran görüntüleri yakalayabilir ve ekranları kaydedebilir, bunlar daha sonra C2 sunucularına gönderilir. Ayrıca web sayfalarında kaydırma ve tıklama gibi eylemleri otomatikleştirebilir. Ek olarak, Mandrake kullanıcı kimlik bilgileri, cihaz ayrıntıları ve yüklü uygulamaların bir listesi dahil olmak üzere hassas bilgileri toplar.
Etki ve Tepki
Mandrake casus yazılımının Google Play’e sızması, uygulama içi pazar yeri güvenliğinde önemli bir sorun olduğunu ortaya koyuyor. Google’ın uygulamaları kapsamlı bir şekilde inceleme çabalarına rağmen, Mandrake gibi karmaşık tehditler bu savunmaları aşmayı başardı. Bu kötü amaçlı uygulamaların tespit edilemediği uzun süre, kullanıcıları korumak için sürekli teyakkuz ve gelişmiş güvenlik önlemlerine olan acil ihtiyacı ortaya koyuyor.
Mandrake Android casus yazılımı gizleme ve kaçınma tekniklerinde ilerledikçe, hem kullanıcılar hem de güvenlik uzmanları için önemli bir zorluk oluşturmaktadır. Mandrake’in resmi uygulama mağazalarında gizlenme ve çalışma yöntemlerinin geliştirilmiş olduğu bu son keşif, sağlam güvenlik uygulamaları ve sürekli izleme için kritik ihtiyacı daha da vurgulamaktadır.
Mandrake’in tespit edilmekten kaçma ve uygulama pazarlarında varlığını sürdürme yeteneği, daha sıkı güvenlik protokollerinin gerekliliğini vurgular. Bu tür karmaşık tehditlerle etkili bir şekilde mücadele etmek için, daha sıkı güvenlik önlemlerini uygulamak ve yürürlüğe koymak ve uygulama mağazalarını izlemede daha yüksek bir dikkat sürdürmek esastır.