Informácie o nových kybernetických hrozbách nikdy nepotešia, no je len otázkou času, kedy príde ďalšia. Na podobné situácie nie je možné byť pripravený vopred, a preto je dôležité, aby sa odhalili čo najskôr. Mandrake malvér však ukazuje, že aj závažnejšie problémy môžu byť dlhodobo prehliadané.
Bezpečnostná firma Bitdefender vydala podrobnú správu o ich najnovšom odhalení, ktoré sa týka spomínaného malvéru s názvom Mandrake. V niektorých zariadeniach používateľov Androidu sa po prvýkrát objavil ešte pred štyrmi rokmi, no odhalený bol až začiatkom tohto roka. Do zariadení sa dostával v dvoch vlnách – medzi rokmi 2016 a 2017, no taktiež medzi rokmi 2018 a 2020. Tieto dve vlny sa od seba líšila aj technicky – zatiaľčo prvá mala iba obmedzené záškodnícke funkcie, druhá už obsahovala oveľa premyslenejší kód pre Mandrake malvér.
Starostliví vývojári
Výrazne zasiahol Európu, Kanadu a Ameriku, no najviac sa rozšíril v Austrálii. Zameriaval sa pritom iba na bohatšie regióny, takže útočníci úplne vynechali Afriku, no zo zoznamu krajín vyškrtli aj štáty bývalého Sovietskeho zväzu. Jeho rozšírenie bolo pritom rovnako nenápadné ako samotné fungovanie. Zdrojom tohto kódu bolo najmenej sedem aplikácií od rôznych vývojárov.
Potvrdené boli konkrétne tieto apky: Abfix, OfficeScanner, SnapTune Vid, Currency XE Converter, CoinCast, Horoskope a Car News. Samozrejme, na prvý pohľad nebola žiadna z týchto aplikácií podozrivá. Vývojári dokonca spolupracovali s komunitou, vytvorili oficiálne stránky na sociálnych sieťach, odpovedali im na otázky či dokonca opravovali nahlásené chyby.
Nenápadný, no vyberavý
Samotný Mandrake malvér funguje v troch fázach, pričom až posledná je pre používateľa nebezpečná. Čo je však zaujímavé, nespustí sa vždy. Zapne sa iba v momente, ak je obeť pre útočníka zaujímavá. Keď sa tak stane, malvér začne nenápadne zbierať dôležité dáta a vykonávať rôzne akcie: zbierať SMS správy, posielať SMS na konkrétne čísla, kopírovať zoznam telefónnych čísiel, uskutočňovať hovory, vytvárať zoznam nainštalovaných aplikácií, inštalovať alebo odinštalovať aplikácie, získavať dáta o účte, informácie o zariadení a sieti, nahrávať obrazovku zariadenia a zaznamenávať polohu GPS.
Ak útočník vyhodnotí, že zozbierané dáta sú dostatočné, spustí sa reset zariadenia do výrobných nastavení, čím sa škodlivý kód zmaže. Okrem vyššie spomenutých krajín sa kód vyhýbal aj zariadeniam, ktoré nemali vloženú SIM kartu, prípadne ak išlo o špecifického operátora – napríklad Verizon alebo Čínsky mobilný operátor.
