Los analistas de Kaspersky han identificado una nueva campaña de spyware que distribuye el malware Mandrake a través de Google Play bajo la apariencia de aplicaciones legítimas relacionadas con criptomonedas, juegos y astronomía.
Los expertos han descubierto cinco aplicaciones de Mandrake en Google Play, que han estado disponibles durante dos años y que han acumulado más de 32.000 descargas. Las últimas muestras cuentan con técnicas avanzadas de ofuscación y evasión, lo que les permite permanecer sin que los fabricantes de seguridad las detecten.
Identificado por primera vez en 2020, el spyware Mandrake es una sofisticada plataforma de espionaje para Android que lleva activa al menos desde 2016. En abril de 2024, los analistas de Kaspersky descubrieron una muestra sospechosa, lo que sugiere una nueva versión de Mandrake con funcionalidad mejorada. Estas nuevas muestras presentan técnicas avanzadas de ofuscación y evasión, incluido el cambio de funciones maliciosas a bibliotecas nativas utilizando OLLVM, la implementación de “certificatepinning” para la comunicación segura con servidores de comando y control (C2), así como la realización de comprobaciones exhaustivas para detectar si Mandrake está operando en un dispositivo rooteado o dentro de un entorno emulado.
La diferencia clave de la nueva variante de Mandrake son nuevas técnicas avanzadas de ofuscación diseñadas para eludir los controles de seguridad de Google Play y dificultar el análisis. Los expertos de la compañía identificaron cinco aplicaciones que contenían el spyware Mandrake, que en conjunto se descargaron más de 32.000 veces. Estas aplicaciones, todas publicadas en Google Play en 2022, estuvieron disponibles para descarga durante al menos un año. Se presentaban como una aplicación de intercambio de archivos a través de WiFi, una aplicación de servicios de astronomía, un juego de Amber para Genshin, una aplicación de criptomonedas y una app con puzles de lógica. Hasta julio de 2024, ningún fabricante de seguridad había detectado como malware estas aplicaciones, según VirusTotal.
Aunque ya no están disponibles en Google Play, en su momento la mayoría de las descargan se realizaron desde España, Canadá, Alemania, Italia, México, Perú y el Reino Unido. Considerando las similitudes entre la campaña actual y la anterior con los dominios C2 registrados en Rusia, los analistas de Kaspersky asumieron que el actor de la amenaza es el mismo que se mencionó en el primer informe de detección de Bitdefender.
“Después de evadir la detección durante cuatro años en sus versiones iniciales, la última campaña de Mandrake ha permanecido en Google Play durante dos años más, lo que demuestra las habilidades avanzadas de los actores de amenazas involucrados. Asimismo, destaca una tendencia preocupante: a medida que las restricciones se endurecen y los controles de seguridad se vuelven más rigurosos, la sofisticación de las amenazas que penetran en las tiendas de aplicaciones oficiales aumenta, haciéndolas más difíciles de detectar”, asegura Tatyana Shishkova, analista principal del GReAT (Global Research and Analysis Team) de Kaspersky.
Para mantenerse a salvo frente a amenazas como el spyware Mandrake, los expertos recomiendan seguir los siguientes consejos:
- Utiliza las tiendas oficiales de las aplicaciones. Descarga aplicaciones y software de fuentes verificadas y oficiales y evita las tiendas de terceros, ya que el riesgo de que alojen aplicaciones maliciosas o comprometidas es mayor. Ten en cuenta que incluso las plataformas oficiales pueden albergar aplicaciones maliciosas. Siempre verifica las reseñas y calificaciones antes de descargar.
- Instala un software de seguridad de confianza. Ten en tus dispositivos un software antivirus y antimalware de confianza, analiza regularmente sus dispositivos en busca de posibles amenazas y mantén actualizado tu software de seguridad.
- Mantente informado sobre las estafas más comunes y sobre las últimas ciberamenazas, técnicas y tácticas. Ten cuidado con las peticiones no solicitadas, las ofertas sospechosas o las demandas urgentes de información personal o financiera.
