23 de noviembre de 2024

Kaspersky ha descubierto una nueva campaña de spyware Mandrake en Google Play

Escucha este Artículo

Los investigadores de Kaspersky han identificado una nueva campaña de software espía que distribuye el malware Mandrake a través de Google Play bajo la apariencia de aplicaciones legítimas relacionadas con criptomonedas, astronomía y herramientas de utilidad. Los expertos de Kaspersky han descubierto cinco aplicaciones de Mandrake en Google Play, que estuvieron disponibles durante dos años, con más de 32,000 descargas. Las últimas muestras cuentan con técnicas avanzadas de ofuscación y evasión, lo que les permite pasar desapercibidos para los proveedores de seguridad.

Si bien estas aplicaciones maliciosas ya no están disponibles en Google Play, fueron comercializadas en una amplia gama de países y la mayoría de las descargas se realizaron en México, Perú, Canadá, Alemania, Italia, España y el Reino Unido.

Identificado inicialmente en 2020, Mandrake es un avanzado software espía para Android que ha estado operativo desde al menos 2016. En abril de 2024, investigadores de Kaspersky hallaron una muestra que indicaba una versión actualizada de Mandrake con capacidades mejoradas. Las nuevas muestras muestran técnicas de ofuscación y evasión más avanzadas, incluyendo la transferencia de funciones maliciosas a bibliotecas nativas ofuscadas mediante OLLVM, la implementación de fijación de certificados para comunicaciones seguras con servidores de comando y control (C2), y la ejecución de verificaciones detalladas para determinar si Mandrake opera en un dispositivo rooteado o en un ambiente emulado.

La nueva variante de Mandrake se distingue por incorporar técnicas avanzadas de ofuscación que buscan evadir los controles de seguridad de Google Play y complicar su análisis. Expertos de la industria identificaron cinco aplicaciones con el software espía Mandrake, las cuales acumularon más de 32,000 descargas. Publicadas en Google Play en 2022, estuvieron disponibles por lo menos un año y se presentaron como aplicaciones de compartición de archivos vía Wi-Fi, servicios de astronomía, un juego de Amber para Genshin, una aplicación de criptomonedas y otra de acertijos lógicos. Hasta julio de 2024, VirusTotal no ha registrado estas aplicaciones como malware.

Dadas las similitudes entre las campañas actuales y anteriores, con dominios C2 registrados en Rusia, se presume con alta confianza que el autor de la amenaza es el mismo reportado inicialmente por Bitdefender.

Después de evadir la detección durante cuatro años en sus versiones iniciales, la última campaña de Mandrake permaneció sin ser detectada en Google Play durante dos años más. Esto demuestra las habilidades avanzadas de los actores de amenazas involucrados. También destaca una tendencia preocupante: a medida que las restricciones se endurecen y los controles de seguridad se vuelven más rigurosos, aumenta la sofisticación de las amenazas que penetran en las tiendas de aplicaciones oficiales, lo que las hace más difíciles de detectar”, comenta Tatyana Shishkova, investigadora principal de seguridad en el Equipo Global de Investigación y Análisis de Kaspersky.

Para mantenerse a salvo de amenazas como el software espía Mandrake, los expertos de Kaspersky recomiendan:

  • Descarga aplicaciones únicamente desde tiendas oficiales: evita las tiendas de aplicaciones de terceros, ya que el riesgo de que alberguen apps maliciosas o comprometidas es mayor. Ten en cuenta que incluso las plataformas oficiales pueden alojar aplicaciones maliciosas. Siempre verifica las reseñas y calificaciones antes de descargar.
  • Utiliza un software de seguridad confiable: instala y mantén un software antivirus y antimalware confiable en tus dispositivos. Escanea periódicamente tus equipos en busca de posibles amenazas y actualiza tu software de seguridad de forma regular. Kaspersky Premium protege a sus usuarios de amenazas conocidas y desconocidas.
  • Infórmate sobre las estafas comunes: mantente informado sobre las últimas amenazas, técnicas y tácticas cibernéticas. Ten cuidado con ofertas sospechosas, descargas no solicitadas o demandas urgentes de información personal o financiera.
  • El software de terceros de fuentes populares a menudo no tiene garantía: Ten en cuenta que dichas aplicaciones pueden contener implantes maliciosos, por ejemplo, debido a ataques de la cadena de suministro.

Para obtener más información sobre la nueva campaña de software espía de Mandrake, visite Securelist.com.