Una nueva versión de un sofisticado software espía para Android llamado Mandrágora Se ha descubierto en cinco aplicaciones que estaban disponibles para su descarga en Google Play Store y permanecieron sin detectar durante dos años.
Las aplicaciones atrajeron un total de más de 32.000 instalaciones antes de ser retiradas de la tienda de aplicaciones, según informó Kaspersky en un artículo publicado el lunes. La mayoría de las descargas procedían de Canadá, Alemania, Italia, México, España, Perú y el Reino Unido.
«Las nuevas muestras incluyeron nuevas capas de técnicas de ofuscación y evasión, como mover funcionalidad maliciosa a bibliotecas nativas ofuscadas, usar la fijación de certificados para comunicaciones C2 y realizar una amplia gama de pruebas para verificar si Mandrake se estaba ejecutando en un dispositivo rooteado o en un entorno emulado», dijeron los investigadores Tatyana Shishkova e Igor Golovin. dicho.
La mandrágora era documentado por primera vez por el proveedor de ciberseguridad rumano Bitdefender en mayo de 2020, describiendo su enfoque deliberado para infectar un puñado de dispositivos mientras lograba acechar en las sombras desde 2016.
Las variantes actualizadas se caracterizan por el uso de OLVM para ocultar la funcionalidad principal, al tiempo que incorpora una serie de técnicas de evasión de sandbox y antianálisis para evitar que el código se ejecute en entornos operados por analistas de malware.
La lista de aplicaciones que contienen Mandrake se encuentra a continuación:
- AirFS (com.airft.ftrnsfr)
- Ámbar (com.shrp.sght)
- Astro Explorer (com.astro.dscvr)
- Matriz cerebral (com.brnmth.mtrx)
- CryptoPulsing (com.cryptopulsing.browser)
Las aplicaciones se empaquetan en tres etapas: un cuentagotas que lanza un cargador responsable de ejecutar el componente principal del malware después de descargarlo y descifrarlo desde un servidor de comando y control (C2).
La carga útil de la segunda etapa también es capaz de recopilar información sobre el estado de conectividad del dispositivo, las aplicaciones instaladas, el porcentaje de batería, la dirección IP externa y la versión actual de Google Play. Además, puede borrar el módulo principal y solicitar permisos para dibujar superposiciones y ejecutarse en segundo plano.
La tercera etapa admite comandos adicionales para cargar una URL específica en un WebView e iniciar una sesión de uso compartido de pantalla remota, así como grabar la pantalla del dispositivo con el objetivo de robar las credenciales de las víctimas y colocar más malware.
«Android 13 introdujo la función ‘Configuración restringida’, que prohíbe que las aplicaciones descargadas de forma lateral soliciten directamente permisos peligrosos», dijeron los investigadores. «Para evitar esta función, Mandrake procesa la instalación con un ‘basado en sesiones‘ paquete de instalación.»
La compañía de seguridad rusa describió a Mandrake como un ejemplo de una amenaza que evoluciona dinámicamente y que constantemente perfecciona sus técnicas para eludir los mecanismos de defensa y evadir la detección.
«Esto resalta las formidables habilidades de los actores de amenazas, y también que los controles más estrictos para las aplicaciones antes de ser publicadas en los mercados sólo se traducen en amenazas más sofisticadas y más difíciles de detectar que se cuelan en los mercados oficiales de aplicaciones», afirmó.
Cuando se le solicitó un comentario, Google le dijo a The Hacker News que está reforzando continuamente las defensas de Google Play Protect a medida que se detectan nuevas aplicaciones maliciosas y que está mejorando sus capacidades para incluir la detección de amenazas en vivo para abordar la ofuscación y las técnicas antievasión.
«Los usuarios de Android están protegidos automáticamente contra las versiones conocidas de este malware gracias a Google Play Protect, que está activado de forma predeterminada en los dispositivos Android con Google Play Services», afirmó un portavoz de Google. «Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que se sabe que presentan un comportamiento malicioso, incluso cuando esas aplicaciones proceden de fuentes externas a Play».