Los investigadores de seguridad han arrojado luz sobre una nueva versión de Mandrake, una sofisticada herramienta de malware de ciberespionaje para Android. Inicialmente analizada por Bitdefender en mayo de 2020, Mandrake había operado sin ser detectada durante al menos cuatro años. En abril de 2024, los investigadores de Kaspersky descubrieron muestras sospechosas que se confirmó que eran una nueva versión de Mandrake. Esta última variante se ocultó en cinco aplicaciones de Google Play entre 2022 y 2024, acumulando más de 32.000 descargas sin que otros proveedores de ciberseguridad la detectaran. Las muestras actualizadas de Mandrake, descritas en un aviso publicado hoy por Kaspersky, mostraban tácticas mejoradas de ofuscación y evasión. Los cambios clave incluían el traslado de funciones maliciosas a bibliotecas nativas ofuscadas, el uso de la fijación de certificados para comunicaciones seguras con servidores de comando y control (C2) y la implementación de varias pruebas para evitar la detección en dispositivos rooteados o emulados. Según se informa, estas aplicaciones permanecieron en Google Play hasta dos años, y la aplicación más descargada, AirFS, acumuló más de 30 000 instalaciones antes de su eliminación en marzo de 2024. Cadena de infección sofisticada Desde un punto de vista técnico, la nueva versión de Mandrake opera a través de una cadena de infección de varias etapas. Inicialmente, la actividad maliciosa está oculta dentro de una biblioteca nativa, lo que dificulta su análisis en comparación con las campañas anteriores en las que la primera etapa estaba en el archivo DEX. Tras la ejecución, la biblioteca de la primera etapa descifra y carga la segunda etapa, que luego inicia la comunicación con el servidor C2. Si se considera relevante, el servidor C2 ordena al dispositivo que descargue y ejecute el malware principal, que está diseñado para robar las credenciales del usuario e implementar aplicaciones maliciosas adicionales. Las técnicas de evasión de Mandrake se han vuelto más sofisticadas, advirtió Kaspersky, incorporando comprobaciones de entornos de emulación, dispositivos rooteados y la presencia de herramientas de análisis. Estas mejoras dificultan la detección y el análisis del malware por parte de los expertos en ciberseguridad. Cabe destacar que los actores de amenazas detrás de Mandrake también emplearon un enfoque novedoso para el cifrado y descifrado de datos, utilizando una combinación de algoritmos personalizados y cifrado AES estándar. Lea más sobre cifrado: El cifrado de extremo a extremo genera inquietud entre las fuerzas de seguridad de la UE “El software espía Mandrake está evolucionando dinámicamente, mejorando sus métodos de ocultación, evasión de sandbox y eludiendo nuevos mecanismos de defensa. Después de que las aplicaciones de la primera campaña permanecieran sin detectar durante cuatro años, la campaña actual acechó en las sombras durante dos años mientras aún estaba disponible para descargar en Google Play”, explicó Kaspersky. “Esto pone de relieve las formidables habilidades de los actores de amenazas, y también que los controles más estrictos para las aplicaciones antes de publicarlas en los mercados solo se traducen en amenazas más sofisticadas y más difíciles de detectar que se cuelan en los mercados de aplicaciones oficiales”. Crédito de la imagen: rafapress / Shutterstock.com