[02/08/2024] Los investigadores de Kaspersky han identificado una nueva campaña de spyware que distribuye malware Mandrake a través de Google Play bajo la apariencia de apps legítimas relacionadas con criptomonedas, astronomía y herramientas de utilidad. Según lo señalado en el comunicado de prensa, los expertos de Kaspersky han descubierto cinco aplicaciones de Mandrake en Google Play, que estuvieron disponibles durante dos años, con más de 32 mkil descargas. Las últimas muestras cuentan con técnicas avanzadas de ofuscación y evasión, lo que les permite permanecer sin ser detectadas por los proveedores de seguridad.
"Identificado por primera vez en el 2020, el spyware Mandrake es una sofisticada plataforma de espionaje para Android que lleva activa al menos desde el 2016. En abril del 2024, los investigadores de Kaspersky descubrieron una muestra sospechosa, lo que sugiere una nueva versión de Mandrake con funcionalidad mejorada. Estas nuevas muestras presentan técnicas avanzadas de ofuscación y evasión, incluido el cambio de funciones maliciosas a bibliotecas nativas ofuscadas utilizando OLLVM, la implementación de certificate pinning para la comunicación segura con servidores de comando y control (C2), y la realización de comprobaciones exhaustivas para detectar si Mandrake está operando en un dispositivo rooteado o dentro de un entorno emulado”, sostuvo Tatyana Shishkova, investigadora principal de seguridad del GReAT (Global Research and Analysis Team) de Kaspersky.
De acuerdo a la ejecutiva, la principal característica distintiva de la nueva variante de Mandrake es la incorporación de técnicas avanzadas de ofuscación diseñadas para eludir los controles de seguridad de Google Play y dificultar el análisis. "Los expertos de la empresa identificaron cinco aplicaciones que contenían el programa espía Mandrake, descargadas colectivamente más de 32 mil veces. Estas aplicaciones, todas publicadas en Google Play en el 2022, estuvieron disponibles para su descarga durante al menos un año. Se presentaban como una app para compartir archivos vía Wi-Fi, una app de servicios astronómicos, un juego Amber for Genshin, una app de criptomonedas y una app con puzles de lógica. Hasta julio del 2024, ninguna de estas apps había sido detectada como malware por ningún proveedor, según VirusTotal”.
Aunque estas aplicaciones maliciosas ya no están disponibles en Google Play, Shishkova anotó que estaban disponibles en una amplia gama de países, y la mayoría de las descargas se produjeron en Canadá, Alemania, Italia, México, España, Perú y el Reino Unido.
"Teniendo en cuenta las similitudes de la campaña actual y la anterior con dominios C2 registrados en Rusia, asumimos con gran confianza que el actor de la amenaza es el mismo que se indica en el primer informe de detección de Bitdefender”, indicó la especialista.
Franca Cavassa, CTOPerú