最近，韓國多位明星手機被黑，被黑手機都是三星的安卓機，手機安全問題逐漸被大家重視。

盡管用戶隱私意識逐漸增強，還是敵不過黑客們變著法來竊取信息，這不，安卓用戶又要睡不安生了。

最近，羅馬尼亞殺毒軟件Bitdefender的研究人員發(fā)現(xiàn)了一種多階段安卓間諜軟件（multi-stage Android spyware），自2016年起就一直潛伏在安卓后臺，這個間諜軟件為Mandrake，它能“完全控制手機設備”，竊取信息和加密貨幣，侵入銀行帳戶，甚至通過恢復出廠設置來掩蓋其蹤跡。

不過，如果你沒什么錢，那么大可不必擔心，據(jù)數(shù)據(jù)顯示，這款間諜軟件非常“嫌貧愛富”，只有在背后的操作人判斷受害者有足夠的錢值得竊取時，才會被激活，目前已經(jīng)感染了成千上萬的用戶。

如今，已確認感染了Mandrake的應用已從谷歌商店中刪除，但可以肯定的是，還有一些谷歌無法肯定是否感染的應用仍然被保留了下來。

因此谷歌建議，為避免更多用戶感染這種病毒，請自行確保手機設置為不接受來自“未知來源”的應用程序，最好再安裝一些殺毒軟件。

從安全到被黑，發(fā)生悲劇只要三步

從應用程序侵入到完全控制你的手機，Mandrake只需三步就能完成，期間用戶很少能察覺到。

Mandrake侵入手機的第一階段，被稱為“降臨”（dropper），以看起來像無害的應用程序的形式出現(xiàn)，同時也執(zhí)行一些正常的操作。Bitdefender在谷歌商店中以CoinCast，Currency XE Converter，Car News，Horoskope，SnapTune Vid，Abfix和Office Scanner為搜索詞，確定了其中一些。

盡管所有Mandrake相關的內(nèi)容都已從谷歌商店中刪除，但Tom's Guide發(fā)現(xiàn)在Facebook和YouTube上仍然會有相關內(nèi)容的顯示。

如果不小心安裝了這些看似無害的應用程序，它就會馬上開始收集有關用戶手機設備和周圍環(huán)境的信息，但此時它還不會做任何可怕的事情。在后續(xù)使用中，如果該應用不能很好地實現(xiàn)廣告宣稱的功能，當用戶去谷歌商店上打差評，惡意軟件的操作者甚至還會出面道歉并承諾改進。

除此之外，第一階段還會引誘你授權從谷歌商店外部安裝應用，隨即進入第二階段——“加載程序”(loader)，為避免引起用戶懷疑，該程序自稱為“安卓系統(tǒng)”。“加載程序”會潛伏在后臺，收集更多有關你的信息，發(fā)送給惡意軟件操作員，直到他們確定你是否足夠有錢。

如果你成為他們的攻擊對象，那么加載程序將進入第三階段，即“核心Mandrake惡意軟件”（Core）。

Bitdefender寫道：“考慮到間諜平臺的復雜性，我們假設每次攻擊都是針對性的，就像外科手術那樣具有精確度，而且是手動操作而非自動化執(zhí)行。”

“我們估計當前Mandrake間諜軟件浪潮中的受害者有數(shù)萬人，從2016年至今這4年時間里，受害者可能達到了數(shù)十萬。”

Mandrake的“儀式性自殺”

三步竊取信息已經(jīng)足夠可怕了，但這還沒完，當遇到“危險”時，Mandrake還會自動恢復手機至出廠設置，保證不會暴露自己。

在引誘用戶時，Mandrake通過在屏幕上放置偽造的覆蓋窗口來欺騙用戶，例如必須同意的用戶許可協(xié)議，這些都是針對不同手機、屏幕尺寸、語言和安卓版本而量身定制的，當用戶點擊“確定”接受協(xié)議時，就是授予了Mandrake管理特權。

授權成功后，Mandrake會將所有短信轉發(fā)給攻擊者，將通話記錄轉發(fā)給其他號碼，阻止呼叫功能，安裝或刪除應用程序，竊取聯(lián)系人列表，隱藏通知，記錄屏幕活動，竊取Facebook和在線銀行帳戶的密碼，創(chuàng)建網(wǎng)絡釣魚頁面來竊取Gmail和亞馬遜的資質證明，跟蹤你的位置。

“coup de grace”是內(nèi)置于名為“seppuku（切腹）”惡意軟件中的命令，該命令以一種日本儀式性自殺的形式命名，命令執(zhí)行后，便將進行返廠級別的設備清洗，從而刪除惡意軟件的所有痕跡以及所有用戶數(shù)據(jù)。

而且，由于之前授權了Mandrake管理權限，即使是萬能的重啟或卸載第一階段應用程序，也難以保證擺脫核心惡意軟件的攻擊。

Mandrake的四年進化簡史

從2016年至今，Mandrake潛伏的這四年也是不斷進化的四年。

2016年，Mandrake首版oxide面世，主要由一個模仿Adobe的初始應用程序組成，不過此時中心內(nèi)核部分已經(jīng)初步確定。同年，第二版briar出現(xiàn)，在第二版中沒有增加額外的功能，不過要注意的是，從第二版開始就奠定了其模仿通用安卓應用程序的傳統(tǒng)。

2016年末，第三版ricinus出現(xiàn)，以第三版為基礎，Mandrake一直到今天仍然在不斷更新發(fā)展。在第三版中，Mandrake已經(jīng)能夠實現(xiàn)諸如屏蔽手機呼叫和過濾SMS歷史記錄的功能。

截止到此時，Mandrake內(nèi)部只有兩個核心，一個初始立足點示例（initial foothold sample）和下載核心（downloaded core）。

一年多后，在2018年7月，darkmatter掀起第二波浪潮，研究人員表示，尚不清楚他們?yōu)槭裁匆冗@么久，但可以肯定的是要升級系統(tǒng)是需要花費時間的。

這時，Mandrake將戰(zhàn)場引向了谷歌商店，他們開始在谷歌商店部署樣本，規(guī)范結構，最終形成了上述“加載程序“和核心Mandrake惡意軟件”兩個步驟。“加載程序”是通過谷歌商店分發(fā)的，這與普通應用程序一樣，但同時Mandrake還具有下載和加載核心附加程序的功能。

在這個階段，Mandrake進化得相當快，但ricinus沒有進一步發(fā)展下去，至少從收集的樣本來看是這樣的。這種結構沒有持續(xù)下去的原因之一，或許在于留下了太多可被追蹤到的痕跡。

2019年初，一種新的組件類型被引入——“降臨”，至此，完整的Mandrake就構建成功。

對這些應用程序來說，代碼自然是越少越好，只需要滿足下載一個加載程序組件并創(chuàng)建受害者的初始配置文件就足矣，Mandrake在這方面就做得十分完美。

“嫌貧愛富”：一切都是為了錢

這種精巧的能力，以及有針對性的攻擊，通常會被認為是國家級的間諜活動，但Bitdefender的研究人員認為，更多的證據(jù)表明，這只是純犯罪驅動的金錢掠奪。

比如，Bitdefender假設到，按照俄羅斯的標準模式，Mandrake不會攻擊俄羅斯或前蘇聯(lián)的安卓用戶，但Mandrake同時還避開了整個非洲、所有講阿拉伯語的國家和其他許多貧窮國家。同時，由于未知的原因，它也避免將其自身安裝在裝有Verizon SIM卡或中國頂級移動運營商的SIM卡的電話上。

目前可以確定的是，Mandrake的主要目標是澳大利亞，其次是北美，西歐（和波蘭）以及南美一些較富裕地區(qū)。

對于這些地區(qū)的富人們，Bitdefender也給出了值得參考的內(nèi)容：“刪除Mandrake的唯一方法是在安全模式下啟動設備，刪除設備管理員的特殊權限并手動卸載。”

當這類間諜軟件越來越狡猾地侵入我們的日常生活，我們究竟能怎樣確保自己的信息安全？

往更深了說，這類問題究竟是技術作為雙刃劍所不可避免的弊端，或是將在某一天能夠被技術本身所解決，在未來技術的不斷發(fā)展中，我們也希望看到一種答案的可能形式。

Bitdefende報告全文

總結

以上是生活随笔為你收集整理的潜伏4年：安卓间谍软件伺机操控富人的手机，还会“匿踪”的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。