30 de julio de 2024Ravie LakshmananSeguridad móvil / SpywareSe ha descubierto una nueva versión de un sofisticado software espía para Android llamado Mandrake en cinco aplicaciones que estaban disponibles para su descarga en Google Play Store y permanecieron sin detectar durante dos años. Las aplicaciones atrajeron un total de más de 32.000 instalaciones antes de ser retiradas de la tienda de aplicaciones, dijo Kaspersky en un artículo del lunes. La mayoría de las descargas se originaron en Canadá, Alemania, Italia, México, España, Perú y el Reino Unido «Las nuevas muestras incluían nuevas capas de técnicas de ofuscación y evasión, como mover funcionalidad maliciosa a bibliotecas nativas ofuscadas, usar la fijación de certificados para las comunicaciones C2 y realizar una amplia gama de pruebas para verificar si Mandrake se estaba ejecutando en un dispositivo rooteado o en un entorno emulado», dijeron los investigadores Tatyana Shishkova e Igor Golovin. Mandrake fue documentado por primera vez por el proveedor de ciberseguridad rumano Bitdefender en mayo de 2020, describiendo su enfoque deliberado para infectar un puñado de dispositivos mientras lograba acechar en las sombras desde 2016. Las variantes actualizadas se caracterizan por el uso de OLLVM para ocultar la funcionalidad principal, al mismo tiempo que incorporan una serie de técnicas de evasión de sandbox y antianálisis para evitar que el código se ejecute en entornos operados por analistas de malware. La lista de aplicaciones que contienen Mandrake se encuentra a continuación: AirFS (com.airft.ftrnsfr) Amber (com.shrp.sght) ​​Astro Explorer (com.astro.dscvr) Brain Matrix (com.brnmth.mtrx) CryptoPulsing (com.cryptopulsing.browser) Las aplicaciones se empaquetan en tres etapas: Un cuentagotas que lanza un cargador responsable de ejecutar el componente principal del malware después de descargarlo y descifrarlo desde un servidor de comando y control (C2). El payload de segunda etapa también es capaz de recopilar información sobre el estado de conectividad del dispositivo, las aplicaciones instaladas, el porcentaje de batería, la dirección IP externa y la versión actual de Google Play. Además, puede borrar el módulo principal y solicitar permisos para dibujar superposiciones y ejecutarse en segundo plano. La tercera etapa admite comandos adicionales para cargar una URL específica en una WebView e iniciar una sesión de uso compartido de pantalla remota, así como grabar la pantalla del dispositivo con el objetivo de robar las credenciales de las víctimas y colocar más malware. «Android 13 introdujo la función ‘Configuración restringida’, que prohíbe que las aplicaciones cargadas de forma lateral soliciten directamente permisos peligrosos», dijeron los investigadores. «Para evitar esta función, Mandrake procesa la instalación con un instalador de paquetes ‘basado en sesiones'». La empresa de seguridad rusa describió a Mandrake como un ejemplo de una amenaza que evoluciona dinámicamente y que está refinando constantemente su técnica para eludir los mecanismos de defensa y evadir la detección. «Esto pone de relieve las formidables habilidades de los actores de amenazas, y también que los controles más estrictos para las aplicaciones antes de ser publicadas en los mercados sólo se traducen en amenazas más sofisticadas y más difíciles de detectar que se cuelan en los mercados oficiales de aplicaciones», afirmó. Cuando se contactó con Google para que hiciera comentarios, le dijo a The Hacker News que está reforzando continuamente las defensas de Google Play Protect a medida que se detectan nuevas aplicaciones maliciosas y que está mejorando sus capacidades para incluir la detección de amenazas en vivo para abordar la ofuscación y las técnicas antievasión. «Los usuarios de Android están protegidos automáticamente contra las versiones conocidas de este malware por Google Play Protect, que está activado de forma predeterminada en los dispositivos Android con Google Play Services», dijo un portavoz de Google. «Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que se sabe que exhiben un comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes externas a Play». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.