最近，韓國多位明星手機被黑，被黑手機都是三星的安卓機，手機安全問題逐漸被大家重視。

盡管用戶隱私意識逐漸增強，還是敵不過黑客們變著法來竊取信息，這不，安卓用戶又要睡不安生了。

最近，羅馬尼亞殺毒軟件Bitdefender的研究人員發(fā)現(xiàn)了一種多階段安卓間諜軟件（multi-stage Android spyware），自2016年起就一直潛伏在安卓后臺，這個間諜軟件為Mandrake，它能“完全控制手機設(shè)備”，竊取信息和加密貨幣，侵入銀行帳戶，甚至通過恢復(fù)出廠設(shè)置來掩蓋其蹤跡。

不過，如果你沒什么錢，那么大可不必?fù)?dān)心，據(jù)數(shù)據(jù)顯示，這款間諜軟件非常“嫌貧愛富”，只有在背后的操作人判斷受害者有足夠的錢值得竊取時，才會被激活，目前已經(jīng)感染了成千上萬的用戶。

如今，已確認(rèn)感染了Mandrake的應(yīng)用已從谷歌商店中刪除，但可以肯定的是，還有一些谷歌無法肯定是否感染的應(yīng)用仍然被保留了下來。

因此谷歌建議，為避免更多用戶感染這種病毒，請自行確保手機設(shè)置為不接受來自“未知來源”的應(yīng)用程序，最好再安裝一些殺毒軟件。

從安全到被黑，發(fā)生悲劇只要三步

從應(yīng)用程序侵入到完全控制你的手機，Mandrake只需三步就能完成，期間用戶很少能察覺到。

Mandrake侵入手機的第一階段，被稱為“降臨”（dropper），以看起來像無害的應(yīng)用程序的形式出現(xiàn)，同時也執(zhí)行一些正常的操作。Bitdefender在谷歌商店中以CoinCast，Currency XE Converter，Car News，Horoskope，SnapTune Vid，Abfix和Office Scanner為搜索詞，確定了其中一些。

盡管所有Mandrake相關(guān)的內(nèi)容都已從谷歌商店中刪除，但Tom's Guide發(fā)現(xiàn)在Facebook和YouTube上仍然會有相關(guān)內(nèi)容的顯示。

如果不小心安裝了這些看似無害的應(yīng)用程序，它就會馬上開始收集有關(guān)用戶手機設(shè)備和周圍環(huán)境的信息，但此時它還不會做任何可怕的事情。在后續(xù)使用中，如果該應(yīng)用不能很好地實現(xiàn)廣告宣稱的功能，當(dāng)用戶去谷歌商店上打差評，惡意軟件的操作者甚至還會出面道歉并承諾改進。

除此之外，第一階段還會引誘你授權(quán)從谷歌商店外部安裝應(yīng)用，隨即進入第二階段——“加載程序”(loader)，為避免引起用戶懷疑，該程序自稱為“安卓系統(tǒng)”。“加載程序”會潛伏在后臺，收集更多有關(guān)你的信息，發(fā)送給惡意軟件操作員，直到他們確定你是否足夠有錢。

如果你成為他們的攻擊對象，那么加載程序?qū)⑦M入第三階段，即“核心Mandrake惡意軟件”（Core）。

Bitdefender寫道：“考慮到間諜平臺的復(fù)雜性，我們假設(shè)每次攻擊都是針對性的，就像外科手術(shù)那樣具有精確度，而且是手動操作而非自動化執(zhí)行。”

“我們估計當(dāng)前Mandrake間諜軟件浪潮中的受害者有數(shù)萬人，從2016年至今這4年時間里，受害者可能達(dá)到了數(shù)十萬。”

Mandrake的“儀式性自殺”

三步竊取信息已經(jīng)足夠可怕了，但這還沒完，當(dāng)遇到“危險”時，Mandrake還會自動恢復(fù)手機至出廠設(shè)置，保證不會暴露自己。

在引誘用戶時，Mandrake通過在屏幕上放置偽造的覆蓋窗口來欺騙用戶，例如必須同意的用戶許可協(xié)議，這些都是針對不同手機、屏幕尺寸、語言和安卓版本而量身定制的，當(dāng)用戶點擊“確定”接受協(xié)議時，就是授予了Mandrake管理特權(quán)。

授權(quán)成功后，Mandrake會將所有短信轉(zhuǎn)發(fā)給攻擊者，將通話記錄轉(zhuǎn)發(fā)給其他號碼，阻止呼叫功能，安裝或刪除應(yīng)用程序，竊取聯(lián)系人列表，隱藏通知，記錄屏幕活動，竊取Facebook和在線銀行帳戶的密碼，創(chuàng)建網(wǎng)絡(luò)釣魚頁面來竊取Gmail和亞馬遜的資質(zhì)證明，跟蹤你的位置。

“coup de grace”是內(nèi)置于名為“seppuku（切腹）”惡意軟件中的命令，該命令以一種日本儀式性自殺的形式命名，命令執(zhí)行后，便將進行返廠級別的設(shè)備清洗，從而刪除惡意軟件的所有痕跡以及所有用戶數(shù)據(jù)。

而且，由于之前授權(quán)了Mandrake管理權(quán)限，即使是萬能的重啟或卸載第一階段應(yīng)用程序，也難以保證擺脫核心惡意軟件的攻擊。

Mandrake的四年進化簡史

從2016年至今，Mandrake潛伏的這四年也是不斷進化的四年。

2016年，Mandrake首版oxide面世，主要由一個模仿Adobe的初始應(yīng)用程序組成，不過此時中心內(nèi)核部分已經(jīng)初步確定。同年，第二版briar出現(xiàn)，在第二版中沒有增加額外的功能，不過要注意的是，從第二版開始就奠定了其模仿通用安卓應(yīng)用程序的傳統(tǒng)。

2016年末，第三版ricinus出現(xiàn)，以第三版為基礎(chǔ)，Mandrake一直到今天仍然在不斷更新發(fā)展。在第三版中，Mandrake已經(jīng)能夠?qū)崿F(xiàn)諸如屏蔽手機呼叫和過濾SMS歷史記錄的功能。

截止到此時，Mandrake內(nèi)部只有兩個核心，一個初始立足點示例（initial foothold sample）和下載核心（downloaded core）。

一年多后，在2018年7月，darkmatter掀起第二波浪潮，研究人員表示，尚不清楚他們?yōu)槭裁匆冗@么久，但可以肯定的是要升級系統(tǒng)是需要花費時間的。

這時，Mandrake將戰(zhàn)場引向了谷歌商店，他們開始在谷歌商店部署樣本，規(guī)范結(jié)構(gòu)，最終形成了上述“加載程序“和核心Mandrake惡意軟件”兩個步驟。“加載程序”是通過谷歌商店分發(fā)的，這與普通應(yīng)用程序一樣，但同時Mandrake還具有下載和加載核心附加程序的功能。

在這個階段，Mandrake進化得相當(dāng)快，但ricinus沒有進一步發(fā)展下去，至少從收集的樣本來看是這樣的。這種結(jié)構(gòu)沒有持續(xù)下去的原因之一，或許在于留下了太多可被追蹤到的痕跡。

2019年初，一種新的組件類型被引入——“降臨”，至此，完整的Mandrake就構(gòu)建成功。

對這些應(yīng)用程序來說，代碼自然是越少越好，只需要滿足下載一個加載程序組件并創(chuàng)建受害者的初始配置文件就足矣，Mandrake在這方面就做得十分完美。

“嫌貧愛富”：一切都是為了錢

這種精巧的能力，以及有針對性的攻擊，通常會被認(rèn)為是國家級的間諜活動，但Bitdefender的研究人員認(rèn)為，更多的證據(jù)表明，這只是純犯罪驅(qū)動的金錢掠奪。

比如，Bitdefender假設(shè)到，按照俄羅斯的標(biāo)準(zhǔn)模式，Mandrake不會攻擊俄羅斯或前蘇聯(lián)的安卓用戶，但Mandrake同時還避開了整個非洲、所有講阿拉伯語的國家和其他許多貧窮國家。同時，由于未知的原因，它也避免將其自身安裝在裝有Verizon SIM卡或中國頂級移動運營商的SIM卡的電話上。

目前可以確定的是，Mandrake的主要目標(biāo)是澳大利亞，其次是北美，西歐（和波蘭）以及南美一些較富裕地區(qū)。

對于這些地區(qū)的富人們，Bitdefender也給出了值得參考的內(nèi)容：“刪除Mandrake的唯一方法是在安全模式下啟動設(shè)備，刪除設(shè)備管理員的特殊權(quán)限并手動卸載。”

當(dāng)這類間諜軟件越來越狡猾地侵入我們的日常生活，我們究竟能怎樣確保自己的信息安全？

往更深了說，這類問題究竟是技術(shù)作為雙刃劍所不可避免的弊端，或是將在某一天能夠被技術(shù)本身所解決，在未來技術(shù)的不斷發(fā)展中，我們也希望看到一種答案的可能形式。

Bitdefende報告全文

總結(jié)

以上是生活随笔為你收集整理的潜伏4年：安卓间谍软件伺机操控富人的手机，还会“匿踪”的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。