Una misteriosa familia de malware para Android con un historial demostrado de ocultar eficazmente sus innumerables actividades de espionaje ha sido encontrada una vez más en Google Play después de más de dos años de estar oculta a plena vista. Las aplicaciones, disfrazadas de aplicaciones de intercambio de archivos, astronomía y criptomonedas, alojaban Mandrake, una familia de malware altamente intrusivo que la firma de seguridad Bitdefender denunció en 2020. Bitdefender dijo que las aplicaciones aparecieron en dos oleadas, una entre 2016 y 2017 y otra entre 2018 y 2020. La capacidad de Mandrake para pasar desapercibida en ese momento fue el resultado de algunos pasos inusualmente rigurosos para pasar desapercibidos. Incluían: No funciona en 90 países, incluidos los que comprendían la antigua Unión Soviética Entregar su carga útil final solo a víctimas que fueron seleccionadas de manera extremadamente específica Contiene un interruptor de apagado que los desarrolladores llamaron seppuku (forma japonesa de suicidio ritual) que borró por completo todos los rastros del malware Aplicaciones señuelo completamente funcionales en categorías que incluyen finanzas, automóviles y vehículos, reproductores y editores de video, arte y diseño y productividad Soluciones rápidas para errores informados en comentarios Fijación de certificado TLS para ocultar las comunicaciones con servidores de comando y control. Acechando en las sombras Bitdefender estimó el número de víctimas en decenas de miles para la ola de 2018 a 2020 y «probablemente cientos de miles a lo largo del período completo de 4 años». Tras el informe de Bitdefender de 2020, las aplicaciones infectadas con Mandrake parecieron desaparecer de Play. Ahora, la empresa de seguridad Kaspersky ha informado de que las aplicaciones reaparecieron en 2022 y pasaron desapercibidas hasta ahora. Además de una nueva ronda de aplicaciones señuelo, los operadores de Mandrake también introdujeron varias medidas para ocultar mejor su comportamiento malicioso, evitar el análisis de los «sandboxes» utilizados por los investigadores para identificar y estudiar malware, y combatir las protecciones contra malware introducidas en los últimos años. «El spyware Mandrake está evolucionando dinámicamente, mejorando sus métodos de ocultación, evasión de sandbox y eludiendo nuevos mecanismos de defensa», escribieron los investigadores de Kaspersky Tatyana Shishkova e Igor Golovin. «Después de que las aplicaciones de la primera campaña permanecieran sin detectar durante cuatro años, la campaña actual acechó en las sombras durante dos años, mientras aún estaba disponible para descargar en Google Play. Esto pone de relieve las formidables habilidades de los actores de amenazas, y también que los controles más estrictos para las aplicaciones antes de ser publicadas en los mercados solo se traducen en amenazas más sofisticadas y más difíciles de detectar que se cuelan en los mercados oficiales de aplicaciones. Una característica clave de la última generación de Mandrake son las múltiples capas de ofuscación diseñadas para evitar el análisis por parte de los investigadores y eludir el proceso de investigación que utiliza Google Play para identificar aplicaciones maliciosas. Las cinco aplicaciones que Kaspersky descubrió aparecieron por primera vez en Play en 2022 y permanecieron disponibles durante al menos un año. La aplicación más reciente se actualizó el 15 de marzo y se eliminó del mercado de aplicaciones a finales de ese mes. A principios de este mes, ninguno de los principales proveedores de detección de malware detectó ninguna de las aplicaciones como maliciosa. Un medio de ofuscación era trasladar la funcionalidad maliciosa a bibliotecas nativas, que estaban ofuscadas. Anteriormente, Mandrake almacenaba la lógica maliciosa de la primera etapa en lo que se conoce como el archivo DEX de la aplicación, un tipo de archivo que es trivial de analizar. Al cambiar la ubicación a la biblioteca nativa libopencv_dnn.so, el código de Mandrake es más difícil de analizar y detectar porque las bibliotecas nativas son más difíciles de inspeccionar. Al ofuscar luego la biblioteca nativa con el ofuscador OLLVM, las aplicaciones de Mandrake eran aún más sigilosas. Los principales propósitos de Mandrake son robar las credenciales del usuario y descargar y ejecutar aplicaciones maliciosas de la siguiente etapa. Pero estas acciones se llevan a cabo solo en infecciones de etapa posterior que se sirven solo a un pequeño número de objetivos cuidadosamente seleccionados. El método principal es grabar la pantalla mientras una víctima ingresa un código de acceso. La grabación de pantalla es iniciada por un servidor de control que envía comandos como start_v, start_i o start_a. Los investigadores explicaron: Cuando Mandrake recibe un comando start_v, el servicio se inicia y carga la URL especificada en una vista web propiedad de la aplicación con una interfaz JavaScript personalizada, que la aplicación usa para manipular la página web que carga. Mientras se carga la página, la aplicación establece una conexión websocket y comienza a tomar capturas de pantalla de la página a intervalos regulares, mientras las codifica en cadenas base64 y las envía al servidor C2. Los atacantes pueden usar comandos adicionales para ajustar la velocidad de fotogramas y la calidad. Los actores de amenazas llaman a esto «vnc_stream». Al mismo tiempo, el servidor C2 puede enviar comandos de control que hacen que la aplicación ejecute acciones, como deslizar el dedo hacia una coordenada determinada, cambiar el tamaño y la resolución de la vista web, cambiar entre los modos de visualización de la página de escritorio y móvil, habilitar o deshabilitar la ejecución de JavaScript, cambiar el agente de usuario, importar o exportar cookies, ir hacia atrás y hacia adelante, actualizar la página cargada, hacer zoom en la página cargada, etc. Cuando Mandrake recibe un comando start_i, carga una URL en una vista web, pero en lugar de iniciar una transmisión «VNC», el servidor C2 comienza a grabar la pantalla y guarda el registro en un archivo. El proceso de grabación es similar al escenario «VNC», pero las capturas de pantalla se guardan en un archivo de video. También en este modo, la aplicación espera hasta que el usuario ingrese sus credenciales en la página web y luego recopila cookies de la vista web. El comando start_a permite ejecutar acciones automatizadas en el contexto de la página actual, como deslizar el dedo, hacer clic, etc. Si este es el caso, Mandrake descarga escenarios de automatización desde la URL especificada en las opciones del comando. En este modo, también se graba la pantalla. Las grabaciones de pantalla se pueden cargar al C2 con los comandos upload_i o upload_d. Ni Kaspersky ni Bitdefender proporcionaron información sobre el grupo ni sobre sus motivos para difundir un software espía y una aplicación de robo de credenciales tan sofisticada como Mandrake. Las aplicaciones que descubrió Kaspersky aparecen en la siguiente tabla. Google las ha eliminado de Google Play desde entonces. Se pueden encontrar indicadores adicionales de vulnerabilidad en la publicación de Kaspersky. Nombre del paquete Nombre de la aplicación MD5 Desarrollador Lanzado Última actualización en Google Play Descargas com.airft.ftrnsfr AirFS 33fdfbb1acdc226eb177eb42f3d22db4 it9042 28 de abril de 2022 15 de marzo de 2024 30 305 com.astro.dscvr Astro Explorer 31ae39a7abeea3901a681f847199ed88 shevabad 30 de mayo de 2022 6 de junio de 2023 718 com.shrp.sght Amber b4acfaeada60f41f6925628c824bb35e kodaslda 27 de febrero de 2022 19 de agosto de 2023 19 com.cryptopulsing.browser CryptoPulsing e165cda25ef49c02ed94ab524fafa938 shevabad 02 de noviembre de 2022 06 de junio de 2023 790 com.brnmth.mtrx Brain Matrix – kodaslda 27 de abril de 2022 06 de junio de 2023 259