Forum Datorer och system Mobiltelefoner Tråd

Mandrake - Android-trojan på steroider

1
Skriv svar
Permalänk
Medlem

Mandrake - Android-trojan på steroider

Bitdefender har hittat ett "nytt" Android malware. En trojan/ett phishing-redskap som kan användas för att komma förbi två-faktors-autentisering för till exempel bank-appar.

Whitepaper finns här: https://www.bitdefender.com/files/News/CaseStudies/study/329/Bitdefender-PR-Whitepaper-Mandrake-creat4464-en-EN-interactive.pdf

Det finns ett antal intressanta aspekter av hur det fungerar. Nedanstående är min sammanfattning och jag har inte nödvändigtvis förstått allt rätt. Läs pappret.

- Trojanen består av helt legetima, välutvecklade och underhållna applikationer som distribueras via Google Play Store.

- De hittills kända trojan-apparna är: Office Scanner, Abfix, Currency XE Converter, CoinCast, SnapTune Vid, Horoskope, Car News.

- Operationen har varit verksam sedan 2016 och fram till nu. Whitepapret antyder att mjukvaran fungerar fint på senaste Android.

- Mjukvaran skaffar sig ökade priviligier genom overlay-attacker, dvs skickar upp popuper med till exempel EULA-text som döljer de knappar användaren egentligen "klickar" på, vilka är standard-knapparna i Android för att ge applikationer rättigheter. Pappret är lite tunn på detaljer exakt hur detta går till. Men man kan konstatera att utvecklarna i alla fall har sluppit använda "local privilige escalation"-buggar i Android.

- Man skaffar sig "accessibility"-rättigheter vilket ger möjlighet att bland annat styra och lyssna på skärminteraktionen. Det används till att kolla om man försöker ta bort rättigheten igen och hindrar det. Dessutom kan man tydligen inte avinstallera applikationer med sådana rättigheter hur som helst.

- Det finns funktionalitet för att helt ta över och styra telefonen genom "VNC"-liknande funktionalitet. Helt egenimplementerat och bygger på att skärmdumpar och kommandon skickas mellan telefonen och CnC-servern.

- Phishing verkar fungera i två steg, först skickar man upp ett meddelande om att användaren ska autentisera sig (när användaren självmant försöker starta den legetima bank-appen) och stjäl lösenordet. Sedan har man möjlighet att relaya SMS till ett annat telefonnummer, vilket löser 2FA-problemet.

- Hurvida man kan hantera andra 2FA-lösningar som som Google Authenticator och alternativa inloggningssätt som Bank-ID framgår inte. Inte heller om man kan hantera realtidsattacker mot fysiska donglar (genom att vara MITM med sin fejk-inloggnings-sida), men det känns svårt att utesluta eftersom telefonen tycks vara helt ägd.

(Med reservation för att jag inte använder Android sedan min ruttna Lenovo-platta havererade och kan ha missuppfattat något fundamentalt om hur modern Android fungerar)

Redigera
Citera flera Citera
Permalänk
Medlem

Jag tänkte på tråden som @devildenied startade när jag såg det här. Det hade varit kul att veta hur det gick.

Speciellt inlägget från @SuperFlugan i den tråden kommer jag ihåg. Detta kan måhända vara en möjlig förklaring till din upplevelse.

Redigera
Citera flera Citera
Permalänk
Medlem

@KAD: Inget mer har hänt, han blåste ju sina enheter samt nya lösenord på allt.
Han har inte fått någon fodring eller nått.
Bara fått kopia på anmälan från polisen.

Redigera
Citera flera Citera
Permalänk
Medlem

@KAD Intressant läsning!

Redigera
Citera flera Citera
1
Skriv svar