Una nueva versi\u00f3n de un sofisticado software esp\u00eda para Android llamado Mandr\u00e1gora<\/strong> Se ha descubierto en cinco aplicaciones que estaban disponibles para su descarga en Google Play Store y permanecieron sin detectar durante dos a\u00f1os.<\/p>\n Las aplicaciones atrajeron un total de m\u00e1s de 32.000 instalaciones antes de ser retiradas de la tienda de aplicaciones, seg\u00fan inform\u00f3 Kaspersky en un art\u00edculo publicado el lunes. La mayor\u00eda de las descargas proced\u00edan de Canad\u00e1, Alemania, Italia, M\u00e9xico, Espa\u00f1a, Per\u00fa y el Reino Unido.<\/p>\n “Las nuevas muestras incluyeron nuevas capas de t\u00e9cnicas de ofuscaci\u00f3n y evasi\u00f3n, como mover funcionalidad maliciosa a bibliotecas nativas ofuscadas, usar la fijaci\u00f3n de certificados para comunicaciones C2 y realizar una amplia gama de pruebas para verificar si Mandrake se estaba ejecutando en un dispositivo rooteado o en un entorno emulado”, dijeron los investigadores Tatyana Shishkova e Igor Golovin. dicho<\/a>.<\/p>\n La mandr\u00e1gora era documentado por primera vez<\/a> por el proveedor de ciberseguridad rumano Bitdefender en mayo de 2020, describiendo su enfoque deliberado para infectar un pu\u00f1ado de dispositivos mientras lograba acechar en las sombras desde 2016.<\/p>\n Las variantes actualizadas se caracterizan por el uso de OLVM<\/a> para ocultar la funcionalidad principal, al tiempo que incorpora una serie de t\u00e9cnicas de evasi\u00f3n de sandbox y antian\u00e1lisis para evitar que el c\u00f3digo se ejecute en entornos operados por analistas de malware. <\/p>\n La lista de aplicaciones que contienen Mandrake se encuentra a continuaci\u00f3n:<\/p>\n Las aplicaciones se empaquetan en tres etapas: un cuentagotas que lanza un cargador responsable de ejecutar el componente principal del malware despu\u00e9s de descargarlo y descifrarlo desde un servidor de comando y control (C2).<\/p>\n La carga \u00fatil de la segunda etapa tambi\u00e9n es capaz de recopilar informaci\u00f3n sobre el estado de conectividad del dispositivo, las aplicaciones instaladas, el porcentaje de bater\u00eda, la direcci\u00f3n IP externa y la versi\u00f3n actual de Google Play. Adem\u00e1s, puede borrar el m\u00f3dulo principal y solicitar permisos para dibujar superposiciones y ejecutarse en segundo plano.<\/p>\n La tercera etapa admite comandos adicionales para cargar una URL espec\u00edfica en un WebView e iniciar una sesi\u00f3n de uso compartido de pantalla remota, as\u00ed como grabar la pantalla del dispositivo con el objetivo de robar las credenciales de las v\u00edctimas y colocar m\u00e1s malware.<\/p>\n “Android 13 introdujo la funci\u00f3n ‘Configuraci\u00f3n restringida’, que proh\u00edbe que las aplicaciones descargadas de forma lateral soliciten directamente permisos peligrosos”, dijeron los investigadores. “Para evitar esta funci\u00f3n, Mandrake procesa la instalaci\u00f3n con un ‘basado en sesiones<\/a>‘ paquete de instalaci\u00f3n.”<\/p>\n La compa\u00f1\u00eda de seguridad rusa describi\u00f3 a Mandrake como un ejemplo de una amenaza que evoluciona din\u00e1micamente y que constantemente perfecciona sus t\u00e9cnicas para eludir los mecanismos de defensa y evadir la detecci\u00f3n.<\/p>\n “Esto resalta las formidables habilidades de los actores de amenazas, y tambi\u00e9n que los controles m\u00e1s estrictos para las aplicaciones antes de ser publicadas en los mercados s\u00f3lo se traducen en amenazas m\u00e1s sofisticadas y m\u00e1s dif\u00edciles de detectar que se cuelan en los mercados oficiales de aplicaciones”, afirm\u00f3.<\/p>\n Cuando se le solicit\u00f3 un comentario, Google le dijo a The Hacker News que est\u00e1 reforzando continuamente las defensas de Google Play Protect a medida que se detectan nuevas aplicaciones maliciosas y que est\u00e1 mejorando sus capacidades para incluir la detecci\u00f3n de amenazas en vivo para abordar la ofuscaci\u00f3n y las t\u00e9cnicas antievasi\u00f3n.<\/p>\n “Los usuarios de Android est\u00e1n protegidos autom\u00e1ticamente contra las versiones conocidas de este malware gracias a Google Play Protect, que est\u00e1 activado de forma predeterminada en los dispositivos Android con Google Play Services”, afirm\u00f3 un portavoz de Google. “Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que se sabe que presentan un comportamiento malicioso, incluso cuando esas aplicaciones proceden de fuentes externas a Play”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Descubren-nuevo-spyware-Mandrake-en-aplicaciones-de-Google-Play-Store.png\")
<\/a><\/center><\/section>\n\n
<\/a><\/div>\n