Una sofisticada forma de software espía de Android, conocida como Mandrake, ha sido detectada en cinco aplicaciones disponibles en la tienda Google Play Store, pasando desapercibida durante dos años. Las aplicaciones lograron atraer más de 32,000 instalaciones antes de ser eliminadas de la tienda. La mayoría de las descargas se originaron en países como Canadá, Alemania, Italia, México, España, Perú y el Reino Unido.
La nueva iteración del software Mandrake incluyó capas adicionales de técnica de ofuscación y evasión, como la transferencia de la funcionalidad maliciosa a bibliotecas nativas ofuscadas y el uso de pinning de certificados para comunicaciones C2. Los investigadores Tatyana Shishkova e Igor Golovin describieron que también realizó pruebas para detectar si se ejecutaba en un dispositivo rooteado o en un entorno emulado.
Este software fue descubierto por primera vez en 2020, y desde entonces ha sido actualizado para incorporar técnicas de evasión de sandbox y anti-análisis con el fin de eludir entornos operados por analistas de malware. Las aplicaciones infectadas incluyen AirFS, Amber, Astro Explorer, Brain Matrix y CryptoPulsing.
Las aplicaciones contienen tres etapas: un instalador que lanza un cargador responsable de ejecutar el componente principal del malware después de descargarlo y descifrarlo de un servidor de control y comando (C2). Este cargador puede recopilar información sobre el estado de conectividad del dispositivo, las aplicaciones instaladas, el porcentaje de batería, la dirección IP externa y la versión actual de Google Play. También es capaz de borrar el módulo principal y solicitar permisos adicionales. La última etapa permite la manipulación de la URL, la ejecución remota de uso compartido de pantalla y la grabación de la pantalla del dispositivo con el objetivo de robar credenciales y distribuir más malware.
Para evitar restricciones de permisos impuestas en Android 13, Mandrake emplea un instalador de paquetes ‘basado en sesiones’. Según los investigadores, esto ejemplifica una amenaza que constantemente perfecciona sus métodos para evadir la detección. La empresa de seguridad rusa advierte que la sofisticación de estas amenazas desafía los controles de seguridad de las tiendas oficiales de aplicaciones.
En respuesta a estos hallazgos, Google Play Protect ha reforzado sus defensas para detectar y bloquear aplicaciones maliciosas, incluyendo la detección de amenazas en vivo. Google asegura que sus usuarios ya están protegidos contra las versiones conocidas de este malware por defecto.
Vía The Hacker News
