Mandrake는 Android 모바일 생태계에서 반복적으로 발생하는 사이버 위협입니다. 연구원들은 몇 년 전에 Mandrake에 감염된 앱을 발견했으며 이제 이 악성 코드는 최신 보안 보호를 회피하기 위해 더 정교한 기술을 사용하여 다시 등장한 것으로 보입니다.
Mandrake 맬웨어 계열은 2020년 Bitdefender에서 처음 발견되었습니다. 루마니아 사이버 보안 회사는 두 번의 주요 감염 물결 중에 위협을 감지했습니다. 첫 번째는 2016~2017년에 Google Play에서 다운로드할 수 있는 가짜 앱에서, 두 번째는 2018~2020년에 발생했습니다. Mandrake의 가장 주목할만한 기능은 Google의 레이더를 피해 수많은 사용자를 감염시키는 능력이며, 4년 동안 "수십만" 명의 사용자를 감염시킨 것으로 추정됩니다.
맨드레이크 감염의 처음 몇 차례는 그 존재를 숨기기 위해 몇 가지 트릭을 사용했습니다. 이 악성코드는 고도로 표적화된 특정 피해자에게 최종 악성 페이로드를 전달하도록 설계되었으며, 장치의 모든 감염 흔적을 지울 수 있는 "seppuku" 종료 스위치도 포함하고 있습니다.
Mandrake 악성 코드를 숨기는 가짜 앱은 금융, 자동차, 비디오 플레이어 및 기타 인기 앱 유형을 포함한 카테고리에서 완벽하게 작동하는 "미끼"입니다. 작업을 위해 모집된 제3자 개발자일 가능성이 있는 사이버 범죄자는 PlayStore 댓글 섹션에서 사용자가 보고한 취약점을 신속하게 수정했습니다. 또한 TLS 인증서는 악성코드와 명령 및 제어(C&C) 서버 간의 통신을 숨기는 데 사용됩니다.
Mandrake 악성코드 계열은 첫 번째 희생자를 낸 이후 안드로이드 생태계에서 사라진 것으로 보입니다. 이제 Kaspersky는 이전보다 탐지 및 분석이 더 어려운 새로운 감염된 앱 물결을 발견했습니다. 이 "신세대" 악성 코드는 여러 계층의 코드 난독화를 사용하여 분석을 방지하고 Google의 검색 알고리즘을 우회할 뿐만 아니라 샌드박스 기반 분석 기술에 대한 특별한 대책을 강구합니다.
Kaspersky는 Mandrake의 작성자가 고급 코딩 기술을 보유하고 있어 악성 코드 탐지 및 연구가 더욱 어렵다고 지적했습니다. 러시아 보안 회사에 따르면 맨드레이크가 포함된 최신 앱은 3월 15일 업데이트되었으며 해당 달 말에 앱 스토어에서 제거되었습니다. Google이나 타사는 이러한 새로운 앱을 멀웨어로 분류할 수 없습니다.
이러한 최신 미끼 앱의 물결에도 불구하고 Mandrake의 주요 목적은 변하지 않은 것으로 보입니다. 이 악성코드는 휴대폰 디스플레이의 콘텐츠를 녹음하고 이 녹음 내용을 C&C 서버로 전송하여 사용자의 자격 증명을 훔치도록 설계되었습니다. 또한 다른 악성 페이로드를 다운로드하고 실행할 수도 있습니다.
Kaspersky는 Mandrake의 작성자나 그의 동기에 대한 추가 정보나 추측을 제공하지 않았습니다. Kaspersky는 Google이 결국 Play 스토어에서 제거한 악성 코드가 포함된 앱 5개를 발견했습니다.
백서 다운로드