Novedades

Se ha descubierto una nueva iteración de un sofisticado spyware para Android llamado Mandrake en cinco aplicaciones que estaban disponibles para descargar desde Google Play Store y que permanecieron sin ser detectadas durante dos años.

Las aplicaciones atrajeron un total de más de 32,000 instalaciones antes de ser retiradas de la tienda de aplicaciones, según informó Kaspersky en un artículo el lunes. La mayoría de las descargas provinieron de Canadá, Alemania, Italia, México, España, Perú y el Reino Unido.

"Las nuevas muestras incluyeron nuevas capas de ofuscación y técnicas de evasión, como mover la funcionalidad maliciosa a bibliotecas nativas ofuscadas, usar fijación de certificados para comunicaciones C2 y realizar una amplia gama de pruebas para verificar si Mandrake se estaba ejecutando en un dispositivo rooteado o en un entorno emulado", dijeron los investigadores Tatyana Shishkova e Igor Golovin.

Mandrake fue documentado por primera vez por el proveedor rumano de ciberseguridad Bitdefender en mayo de 2020, describiendo su enfoque deliberado para infectar un puñado de dispositivos mientras lograba permanecer en las sombras desde 2016.

Las variantes actualizadas se caracterizan por el uso de OLLVM para ocultar la funcionalidad principal, además de incorporar una serie de técnicas de evasión de sandbox y anti-análisis para evitar que el código se ejecute en entornos operados por analistas de malware.

La lista de aplicaciones que contienen Mandrake es la siguiente:

AirFS (com.airft.ftrnsfr)

Amber (com.shrp.sght)

Astro Explorer (com.astro.dscvr)

Brain Matrix (com.brnmth.mtrx)

CryptoPulsing (com.cryptopulsing.browser)

Las aplicaciones se empaquetan en tres etapas: un dropper que lanza un cargador responsable de ejecutar el componente principal del malware después de descargarlo y desencriptarlo desde un servidor de comando y control (C2). La carga útil de segunda etapa también es capaz de recopilar información sobre el estado de conectividad del dispositivo, aplicaciones instaladas, porcentaje de batería, dirección IP externa y la versión actual de Google Play. Además, puede borrar el módulo principal y solicitar permisos para dibujar superposiciones y ejecutarse en segundo plano.

La tercera etapa admite comandos adicionales para cargar una URL específica en una WebView e iniciar una sesión de compartición remota de pantalla, así como grabar la pantalla del dispositivo con el objetivo de robar las credenciales de las víctimas y soltar más malware.

"Android 13 introdujo la función 'Configuraciones Restringidas', que prohíbe a las aplicaciones descargadas solicitar directamente permisos peligrosos", dijeron los investigadores. "Para eludir esta función, Mandrake procesa la instalación con un instalador de paquetes 'basado en sesiones'".

La empresa de seguridad rusa describió Mandrake como un ejemplo de una amenaza que evoluciona dinámicamente y que está refinando constantemente sus técnicas para eludir los mecanismos de defensa y evitar la detección.

"Esto destaca las formidables habilidades de los actores de amenazas, y también que controles más estrictos para las aplicaciones antes de ser publicadas en los mercados solo se traducen en amenazas más sofisticadas y difíciles de detectar que se cuelan en los mercados de aplicaciones oficiales", dijeron.

Al ser contactado para hacer comentarios, Google dijo a The Hacker News que está reforzando continuamente las defensas de Google Play Protect a medida que se marcan nuevas aplicaciones maliciosas y que está mejorando sus capacidades para incluir la detección de amenazas en tiempo real para abordar técnicas de ofuscación y anti-evasión.

"Los usuarios de Android están automáticamente protegidos contra versiones conocidas de este malware por Google Play Protect, que está activado por defecto en dispositivos Android con Google Play Services", dijo un portavoz de Google. "Google Play Protect puede advertir a los usuarios o bloquear aplicaciones conocidas por exhibir comportamientos maliciosos, incluso cuando esas aplicaciones provienen de fuentes fuera de Play".