La más reciente investigación de Mandrake ha descubierto una nueva amenaza en Google Play, conocida como Mandrake. Este software espía sofisticado logró eludir los sistemas de seguridad durante mucho tiempo gracias a su capacidad de camuflaje. A pesar de haber sido identificado en 2020, se ha encontrado en dispositivos Android desde 2016. La última versión, identificada en abril de 2024, ha impresionado a los expertos por sus mejoras y su capacidad para pasar desapercibida.
Avances en la ocultación
- Las funciones maliciosas se han trasladado a bibliotecas nativas encriptadas utilizando OLLVM.
- Se han implementado certificados de pinning para garantizar las conexiones con los servidores de comando y control (C2).
- Se han establecido controles estrictos para detectar dispositivos con acceso root o entornos emulados.
Según Tatyana Shishkova, Investigadora Principal en el Equipo de Investigación y Análisis Global de Kaspersky, “Después de mantenerse invisibles durante varios años en versiones anteriores, la última campaña de Mandrake logró permanecer oculta en Google Play durante dos años más. Esto resalta las habilidades avanzadas de los actores maliciosos implicados, así como una tendencia preocupante: a medida que aumentan las restricciones y controles de seguridad, la complejidad de las amenazas que logran infiltrarse en las tiendas de aplicaciones oficiales también aumenta, volviéndolas más difíciles de detectar.”
Impacto de la investigación de Kaspersky
El informe de Kaspersky identificó cinco aplicaciones que alojaban el spyware Mandrake, acumulando más de 32,000 descargas en total. Estas aplicaciones, publicadas en Google Play en 2022, estuvieron disponibles durante al menos un año y se presentaron como aplicaciones legítimas:
- Una aplicación para compartir archivos a través de Wi-Fi.
- Un servicio relacionado con la astronomía.
- Un juego llamado ’Topaz for Zodiac’.
- Una aplicación de criptomonedas.
- Una aplicación de rompecabezas lógicos.
Hasta julio de 2024, ninguna de estas aplicaciones había sido identificada como malware por ningún proveedor en VirusTotal, demostrando la efectividad de las tácticas de ocultación de Mandrake.
A pesar de que las aplicaciones maliciosas ya no están disponibles en Google Play, fueron ampliamente descargadas en varios países, con la mayoría de descargas concentradas en Canadá, Alemania, Italia, México, España, Perú y Reino Unido. La presencia persistente del actor detrás de las amenazas de Mandrake es evidente al observar similitudes entre las campañas actuales y anteriores. Los investigadores de Kaspersky señalaron que los dominios C2 estaban registrados en Rusia, lo que llevó a concluir que el mismo actor identificado en el informe inicial de Bitdefender es responsable de esta última campaña con un alto grado de certeza.
(Imagen por Rayner Simpson)
¿Quieres saber más sobre ciberseguridad y la nube con los expertos de la industria? Visita Cyber Security & Cloud Expo, un evento integral que se celebra en Ámsterdam, California y Londres, junto con otros eventos líderes como BlockX, Digital Transformation Week, IoT Tech Expo y AI & Big Data Expo.
Explora otros próximos eventos tecnológicos empresariales y webinars organizados por TechForge aquí.
