Identifican una nueva campaña del spyware Mandrake en Google Play

Kaspersky 

Durante dos años, usuarios de varios países, entre ellos México y Perú, realizaron más de 32 mil descargas de este software espía que se ocultó bajo aplicaciones legítimas comercializadas en esta tienda.

Los investigadores de Kaspersky han identificado una nueva campaña de software espía que distribuye el malware Mandrake a través de Google Play bajo la apariencia de aplicaciones legítimas relacionadas con criptomonedas, astronomía y herramientas de utilidad.

Los expertos de Kaspersky han descubierto cinco aplicaciones de Mandrake en Google Play, que estuvieron disponibles durante dos años, con más de 32,000 descargas.  

Las últimas muestras cuentan con técnicas avanzadas de ofuscación y evasión, lo que les permite pasar desapercibidos para los proveedores de seguridad.

Si bien estas aplicaciones maliciosas ya no están disponibles en Google Play, fueron comercializadas en una amplia gama de países y la mayoría de las descargas se realizaron en México, Perú, Canadá, Alemania, Italia, España y el Reino Unido.

Identificado por primera vez en 2020, el software espía Mandrake es una sofisticada plataforma de espionaje de Android que ha estado activa desde al menos 2016.

En abril de 2024, los investigadores de Kaspersky descubrieron una muestra sospechosa que sugería una nueva versión de Mandrake con funcionalidad mejorada.

Estas nuevas muestras presentan técnicas avanzadas de ofuscación y evasión, incluido el cambio defunciones maliciosas a bibliotecas nativas ofuscadas usando OLLVM, la implementación de fijación de certificados para una comunicación segura conservadores de comando y control (C2) y la realización de comprobaciones exhaustivas para detectar si Mandrake está funcionando en un dispositivo rooteado. o dentro de un entorno emulado.

La característica distintiva clave de la nueva variante de Mandrake es la adición de técnicas avanzadas de ofuscación diseñadas para eludir los controles de seguridad de Google Play y obstaculizar el análisis.

Los expertos de la compañía identificaron cinco aplicaciones que contenían el software espía Mandrake, descargadas en conjunto más de 32,000 veces.

Estas aplicaciones, todas publicadas en Google Play en 2022,estuvieron disponibles para descargar durante al menos un año. Se presentaron como una aplicación para compartir archivos a través de Wi-Fi, una aplicación de servicios de astronomía, un juego Amber para Genshin, una aplicación de criptomonedas y una aplicación con acertijos de lógica.

En julio de 2024, ningún proveedor ha detectado ninguna de estas aplicaciones como malware, según Virus Total.

Teniendo en cuenta las similitudes de la campaña actual y anterior con los dominios C2 registrados en Rusia, asumimos con gran confianza que el actor de la amenaza es el mismo que se indica en el primer informe de detección de Bitdefender.