Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Mandrake: El Spyware que está en Apps de Google Play Desde 2022

Escrito por Levi Yoris | Jul 31, 2024 10:26:08 PM

La presencia de software malicioso en aplicaciones aparentemente inofensivas es una amenaza creciente para los usuarios de dispositivos móviles. Uno de los casos más recientes y preocupantes es el spyware conocido como 'Mandrake', que ha estado operando silenciosamente en aplicaciones de Google Play desde 2022. Este malware ha logrado evadir la detección durante un tiempo sorprendentemente largo, exponiendo a miles de usuarios a riesgos graves de privacidad y seguridad. 

Recientemente, se ha descubierto una nueva versión del spyware Mandrake, un software espía para dispositivos Android que ha logrado infiltrar cinco aplicaciones en Google Play, la tienda oficial de aplicaciones de la plataforma. Estas aplicaciones, aparentemente inocuas, han sido descargadas aproximadamente 32,000 veces, exponiendo a numerosos usuarios a graves riesgos de seguridad y privacidad.

Mandrake no es un recién llegado en el ámbito del malware móvil. Bitdefender lo documentó por primera vez en 2020, destacando su sofisticada capacidad para realizar espionaje. Sin embargo, los rastros de Mandrake se remontan al menos hasta 2016, lo que demuestra su persistencia y la habilidad de sus desarrolladores para evadir las medidas de seguridad. En su versión más reciente, Mandrake ha sido reportado por Kaspersky, que ha identificado una mejora significativa en las técnicas de ofuscación y evasión del malware, permitiéndole infiltrarse en Google Play a través de cinco aplicaciones en 2022.

Esta nueva variante de Mandrake es particularmente alarmante debido a su capacidad para pasar desapercibida y continuar operando en segundo plano, recopilando datos sensibles como credenciales de inicio de sesión, mensajes de texto y otros tipos de información privada. La presencia de este malware en aplicaciones descargadas desde una fuente oficial subraya la necesidad de una mayor vigilancia por parte de los usuarios y de las plataformas que alojan estas aplicaciones.

Estas aplicaciones estuvieron disponibles en la tienda de Google Play durante al menos un año. La última de ellas, AirFS, que logró la mayor popularidad y cantidad de infecciones, fue eliminada a finales de marzo de 2024.

 

Kaspersky identificó las cinco aplicaciones que contenían el spyware Mandrake de la siguiente manera:

 

  1. AirFS – Intercambio de archivos a través de Wi-Fi por it9042 (30,305 descargas entre el 28 de abril de 2022 y el 15 de marzo de 2024)

  2. Astro Explorer de Shevabad (718 descargas desde el 30 de mayo de 2022 hasta el 6 de junio de 2023)

  3. Amber de kodaslda (19 descargas entre el 27 de febrero de 2022 y el 19 de agosto de 2023)

  4. CryptoPulsing de shevabad (790 descargas desde el 2 de noviembre de 2022 hasta el 6 de junio de 2023)

  5. Brain Matrix de kodaslda (259 descargas entre el 27 de abril de 2022 y el 6 de junio de 2023)

Según la firma de ciberseguridad, la mayoría de las descargas provienen de países como Canadá, Alemania, Italia, México, España, Perú y el Reino Unido.

 

 

Te podrá interesar leer: Nuevas Apps con Malware Detectadas en Google Play

 

Evasión de Detección

 

A diferencia de los métodos tradicionales utilizados por la mayoría del malware para Android, que inyectan código malicioso en el archivo DEX de la aplicación, Mandrake adopta un enfoque más elusivo. El spyware esconde su fase inicial en una biblioteca nativa llamada 'libopencv_dnn.so'. Esta biblioteca está altamente ofuscada mediante OLLVM, una herramienta que complica la tarea de los analistas de seguridad al tratar de desentrañar el código malicioso.

Una vez que una aplicación infectada es instalada, la biblioteca 'libopencv_dnn.so' se encarga de descifrar y cargar en la memoria un archivo DEX de segunda etapa desde la carpeta de activos de la aplicación. Esta segunda etapa es crucial, ya que solicita permisos para dibujar superposiciones en la pantalla, un truco que permite al malware ocultar su verdadera naturaleza. Además, carga otra biblioteca nativa, 'libopencv_java3.so', que descifra un certificado utilizado para establecer una conexión segura con un servidor de comando y control (C2).

Una vez que se establece la comunicación con el servidor C2, la aplicación envía un perfil detallado del dispositivo afectado. Si el dispositivo cumple con ciertos criterios, el servidor envía el componente principal de Mandrake, que habilita una amplia gama de capacidades maliciosas. Estas incluyen la recolección de datos sensibles, grabación y monitoreo de pantalla, ejecución de comandos arbitrarios, y simulación de interacciones del usuario, como deslizamientos y toques. Además, Mandrake puede gestionar archivos y descargar e instalar aplicaciones adicionales, ampliando su alcance y funcionalidad.

Una táctica particularmente insidiosa utilizada por los atacantes es la generación de notificaciones que imitan las de Google Play, persuadiendo a los usuarios para que descarguen e instalen más aplicaciones maliciosas. Esta estrategia de ingeniería social es efectiva porque se presenta bajo la apariencia de un proceso legítimo y confiable.

Kaspersky, ha destacado que Mandrake también emplea un método de instalación basado en sesiones para evadir las restricciones de seguridad de Android 13 y versiones posteriores. Este enfoque permite al malware instalar APK de fuentes no oficiales sin que el sistema operativo detecte el comportamiento sospechoso.

Mandrake no solo es sofisticado en sus métodos de infección y operación, sino que también demuestra una notable adaptabilidad. La versión más reciente de este malware ha incorporado medidas para evitar la detección por parte de herramientas de análisis como Frida, un popular kit de herramientas de instrumentación dinámica utilizado por los investigadores de seguridad. Esto indica un nivel de evolución y refinamiento que es preocupante, ya que sugiere que los desarrolladores de Mandrake están activos y mejorando continuamente su capacidad para evadir la detección.

 

Conoce más sobre:  iOS 17.6: Advertencia a Usuarios de iPhone a Actualizar Ahora

 

Recomendaciones

 

Dada la creciente sofisticación de amenazas como Mandrake, es fundamental que los usuarios de Android tomen medidas proactivas para proteger sus dispositivos. Aquí hay algunas recomendaciones clave:

 

  1. Descargar aplicaciones solo de fuentes confiables: Aunque Mandrake logró infiltrarse en Google Play, las aplicaciones de desarrolladores conocidos y verificables son generalmente más seguras.

  2. Revisar los permisos de las aplicaciones: Antes de instalar una aplicación, siempre revisa los permisos que solicita. Los permisos que parecen innecesarios para la funcionalidad de la aplicación pueden ser una señal de advertencia.

  3. Mantener el sistema operativo y las aplicaciones actualizados: Las actualizaciones a menudo incluyen parches de seguridad que protegen contra vulnerabilidades conocidas.

  4. Utilizar software de seguridad confiable: Un buen antivirus o aplicación de seguridad puede detectar y eliminar malware antes de que cause daños.

  5. Estar atento a comportamientos sospechosos: Si notas un consumo inusual de batería, sobrecalentamiento, o cualquier otro comportamiento anómalo en tu dispositivo, considera realizar un análisis de seguridad.

La detección de Mandrake en aplicaciones ampliamente distribuidas subraya la importancia de estar siempre alerta y educado sobre las posibles amenazas cibernéticas. Con la tecnología y las tácticas de los ciberdelincuentes en constante evolución, la seguridad en línea es una responsabilidad compartida que requiere la atención y diligencia de todos los usuarios.