最近，韓國(guó)多位明星手機(jī)被黑，被黑手機(jī)都是三星的安卓機(jī)，手機(jī)安全問(wèn)題逐漸被大家重視。

盡管用戶隱私意識(shí)逐漸增強(qiáng)，還是敵不過(guò)黑客們變著法來(lái)竊取信息，這不，安卓用戶又要睡不安生了。

最近，羅馬尼亞殺毒軟件Bitdefender的研究人員發(fā)現(xiàn)了一種多階段安卓間諜軟件（multi-stage Android spyware），自2016年起就一直潛伏在安卓后臺(tái)，這個(gè)間諜軟件為Mandrake，它能“完全控制手機(jī)設(shè)備”，竊取信息和加密貨幣，侵入銀行帳戶，甚至通過(guò)恢復(fù)出廠設(shè)置來(lái)掩蓋其蹤跡。

不過(guò)，如果你沒(méi)什么錢，那么大可不必?fù)?dān)心，據(jù)數(shù)據(jù)顯示，這款間諜軟件非常“嫌貧愛(ài)富”，只有在背后的操作人判斷受害者有足夠的錢值得竊取時(shí)，才會(huì)被激活，目前已經(jīng)感染了成千上萬(wàn)的用戶。

如今，已確認(rèn)感染了Mandrake的應(yīng)用已從谷歌商店中刪除，但可以肯定的是，還有一些谷歌無(wú)法肯定是否感染的應(yīng)用仍然被保留了下來(lái)。

因此谷歌建議，為避免更多用戶感染這種病毒，請(qǐng)自行確保手機(jī)設(shè)置為不接受來(lái)自“未知來(lái)源”的應(yīng)用程序，最好再安裝一些殺毒軟件。

從安全到被黑，發(fā)生悲劇只要三步

從應(yīng)用程序侵入到完全控制你的手機(jī)，Mandrake只需三步就能完成，期間用戶很少能察覺(jué)到。

Mandrake侵入手機(jī)的第一階段，被稱為“降臨”（dropper），以看起來(lái)像無(wú)害的應(yīng)用程序的形式出現(xiàn)，同時(shí)也執(zhí)行一些正常的操作。Bitdefender在谷歌商店中以CoinCast，Currency XE Converter，Car News，Horoskope，SnapTune Vid，Abfix和Office Scanner為搜索詞，確定了其中一些。

盡管所有Mandrake相關(guān)的內(nèi)容都已從谷歌商店中刪除，但Tom's Guide發(fā)現(xiàn)在Facebook和YouTube上仍然會(huì)有相關(guān)內(nèi)容的顯示。

如果不小心安裝了這些看似無(wú)害的應(yīng)用程序，它就會(huì)馬上開始收集有關(guān)用戶手機(jī)設(shè)備和周圍環(huán)境的信息，但此時(shí)它還不會(huì)做任何可怕的事情。在后續(xù)使用中，如果該應(yīng)用不能很好地實(shí)現(xiàn)廣告宣稱的功能，當(dāng)用戶去谷歌商店上打差評(píng)，惡意軟件的操作者甚至還會(huì)出面道歉并承諾改進(jìn)。

除此之外，第一階段還會(huì)引誘你授權(quán)從谷歌商店外部安裝應(yīng)用，隨即進(jìn)入第二階段——“加載程序”(loader)，為避免引起用戶懷疑，該程序自稱為“安卓系統(tǒng)”。“加載程序”會(huì)潛伏在后臺(tái)，收集更多有關(guān)你的信息，發(fā)送給惡意軟件操作員，直到他們確定你是否足夠有錢。

如果你成為他們的攻擊對(duì)象，那么加載程序?qū)⑦M(jìn)入第三階段，即“核心Mandrake惡意軟件”（Core）。

Bitdefender寫道：“考慮到間諜平臺(tái)的復(fù)雜性，我們假設(shè)每次攻擊都是針對(duì)性的，就像外科手術(shù)那樣具有精確度，而且是手動(dòng)操作而非自動(dòng)化執(zhí)行。”

“我們估計(jì)當(dāng)前Mandrake間諜軟件浪潮中的受害者有數(shù)萬(wàn)人，從2016年至今這4年時(shí)間里，受害者可能達(dá)到了數(shù)十萬(wàn)。”

Mandrake的“儀式性自殺”

三步竊取信息已經(jīng)足夠可怕了，但這還沒(méi)完，當(dāng)遇到“危險(xiǎn)”時(shí)，Mandrake還會(huì)自動(dòng)恢復(fù)手機(jī)至出廠設(shè)置，保證不會(huì)暴露自己。

在引誘用戶時(shí)，Mandrake通過(guò)在屏幕上放置偽造的覆蓋窗口來(lái)欺騙用戶，例如必須同意的用戶許可協(xié)議，這些都是針對(duì)不同手機(jī)、屏幕尺寸、語(yǔ)言和安卓版本而量身定制的，當(dāng)用戶點(diǎn)擊“確定”接受協(xié)議時(shí)，就是授予了Mandrake管理特權(quán)。

授權(quán)成功后，Mandrake會(huì)將所有短信轉(zhuǎn)發(fā)給攻擊者，將通話記錄轉(zhuǎn)發(fā)給其他號(hào)碼，阻止呼叫功能，安裝或刪除應(yīng)用程序，竊取聯(lián)系人列表，隱藏通知，記錄屏幕活動(dòng)，竊取Facebook和在線銀行帳戶的密碼，創(chuàng)建網(wǎng)絡(luò)釣魚頁(yè)面來(lái)竊取Gmail和亞馬遜的資質(zhì)證明，跟蹤你的位置。

“coup de grace”是內(nèi)置于名為“seppuku（切腹）”惡意軟件中的命令，該命令以一種日本儀式性自殺的形式命名，命令執(zhí)行后，便將進(jìn)行返廠級(jí)別的設(shè)備清洗，從而刪除惡意軟件的所有痕跡以及所有用戶數(shù)據(jù)。

而且，由于之前授權(quán)了Mandrake管理權(quán)限，即使是萬(wàn)能的重啟或卸載第一階段應(yīng)用程序，也難以保證擺脫核心惡意軟件的攻擊。

Mandrake的四年進(jìn)化簡(jiǎn)史

從2016年至今，Mandrake潛伏的這四年也是不斷進(jìn)化的四年。

2016年，Mandrake首版oxide面世，主要由一個(gè)模仿Adobe的初始應(yīng)用程序組成，不過(guò)此時(shí)中心內(nèi)核部分已經(jīng)初步確定。同年，第二版briar出現(xiàn)，在第二版中沒(méi)有增加額外的功能，不過(guò)要注意的是，從第二版開始就奠定了其模仿通用安卓應(yīng)用程序的傳統(tǒng)。

2016年末，第三版ricinus出現(xiàn)，以第三版為基礎(chǔ)，Mandrake一直到今天仍然在不斷更新發(fā)展。在第三版中，Mandrake已經(jīng)能夠?qū)崿F(xiàn)諸如屏蔽手機(jī)呼叫和過(guò)濾SMS歷史記錄的功能。

截止到此時(shí)，Mandrake內(nèi)部只有兩個(gè)核心，一個(gè)初始立足點(diǎn)示例（initial foothold sample）和下載核心（downloaded core）。

一年多后，在2018年7月，darkmatter掀起第二波浪潮，研究人員表示，尚不清楚他們?yōu)槭裁匆冗@么久，但可以肯定的是要升級(jí)系統(tǒng)是需要花費(fèi)時(shí)間的。

這時(shí)，Mandrake將戰(zhàn)場(chǎng)引向了谷歌商店，他們開始在谷歌商店部署樣本，規(guī)范結(jié)構(gòu)，最終形成了上述“加載程序“和核心Mandrake惡意軟件”兩個(gè)步驟。“加載程序”是通過(guò)谷歌商店分發(fā)的，這與普通應(yīng)用程序一樣，但同時(shí)Mandrake還具有下載和加載核心附加程序的功能。

在這個(gè)階段，Mandrake進(jìn)化得相當(dāng)快，但ricinus沒(méi)有進(jìn)一步發(fā)展下去，至少?gòu)氖占臉颖緛?lái)看是這樣的。這種結(jié)構(gòu)沒(méi)有持續(xù)下去的原因之一，或許在于留下了太多可被追蹤到的痕跡。

2019年初，一種新的組件類型被引入——“降臨”，至此，完整的Mandrake就構(gòu)建成功。

對(duì)這些應(yīng)用程序來(lái)說(shuō)，代碼自然是越少越好，只需要滿足下載一個(gè)加載程序組件并創(chuàng)建受害者的初始配置文件就足矣，Mandrake在這方面就做得十分完美。

“嫌貧愛(ài)富”：一切都是為了錢

這種精巧的能力，以及有針對(duì)性的攻擊，通常會(huì)被認(rèn)為是國(guó)家級(jí)的間諜活動(dòng)，但Bitdefender的研究人員認(rèn)為，更多的證據(jù)表明，這只是純犯罪驅(qū)動(dòng)的金錢掠奪。

比如，Bitdefender假設(shè)到，按照俄羅斯的標(biāo)準(zhǔn)模式，Mandrake不會(huì)攻擊俄羅斯或前蘇聯(lián)的安卓用戶，但Mandrake同時(shí)還避開了整個(gè)非洲、所有講阿拉伯語(yǔ)的國(guó)家和其他許多貧窮國(guó)家。同時(shí)，由于未知的原因，它也避免將其自身安裝在裝有Verizon SIM卡或中國(guó)頂級(jí)移動(dòng)運(yùn)營(yíng)商的SIM卡的電話上。

目前可以確定的是，Mandrake的主要目標(biāo)是澳大利亞，其次是北美，西歐（和波蘭）以及南美一些較富裕地區(qū)。

對(duì)于這些地區(qū)的富人們，Bitdefender也給出了值得參考的內(nèi)容：“刪除Mandrake的唯一方法是在安全模式下啟動(dòng)設(shè)備，刪除設(shè)備管理員的特殊權(quán)限并手動(dòng)卸載。”

當(dāng)這類間諜軟件越來(lái)越狡猾地侵入我們的日常生活，我們究竟能怎樣確保自己的信息安全？

往更深了說(shuō)，這類問(wèn)題究竟是技術(shù)作為雙刃劍所不可避免的弊端，或是將在某一天能夠被技術(shù)本身所解決，在未來(lái)技術(shù)的不斷發(fā)展中，我們也希望看到一種答案的可能形式。

Bitdefende報(bào)告全文

總結(jié)

以上是生活随笔為你收集整理的潜伏4年：安卓间谍软件伺机操控富人的手机，还会“匿踪”的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。