Una misteriosa familia de malware para Android con un historial demostrado de ocultar eficazmente sus innumerables actividades de espionaje ha sido encontrada una vez más en Google Play después de más de dos años de estar oculta a plena vista.
Las aplicaciones, disfrazadas de aplicaciones para compartir archivos, astronomía y criptomonedas, alojaban Mandrake, una familia de malware altamente intrusivo que la firma de seguridad Bitdefender gritó en 2020. Bitdefender dijo que las aplicaciones aparecieron en dos oleadas, una entre 2016 y 2017 y otra entre 2018 y 2020. La capacidad de Mandrake para pasar desapercibida en ese entonces fue el resultado de algunas medidas inusualmente rigurosas para pasar desapercibidas. Entre ellas se incluyen:
- No funciona en 90 países, incluidos los que integraban la ex Unión Soviética
- Entregar su carga final sólo a víctimas que eran objetivos muy específicos
- Contiene un interruptor de apagado que los desarrolladores llamaron seppuku (forma japonesa de ritual).
- suicidio) que borró por completo todos los rastros del malware
- Aplicaciones señuelo completamente funcionales en categorías que incluyen finanzas, automóviles y vehículos, reproductores y editores de video, arte y diseño y productividad.
- Soluciones rápidas para errores informados en los comentarios
- TLS Fijación de certificado para ocultar las comunicaciones con los servidores de comando y control.
Acechando en las sombras
Bitdefender estimó el número de víctimas en decenas de miles para la ola de 2018 a 2020 y “probablemente cientos de miles a lo largo de todo el período de 4 años”.
Tras el informe de Bitdefender de 2020, las aplicaciones infectadas con Mandrake parecieron desaparecer de Play. Ahora, la empresa de seguridad Kaspersky ha informado que las aplicaciones reapareció en 2022 y que hasta ahora habían pasado desapercibidos. Además de una nueva ronda de aplicaciones señuelo, los operadores de Mandrake también introdujeron varias medidas para ocultar mejor su comportamiento malicioso, evitar el análisis de los “sandboxes” utilizados por los investigadores para identificar y estudiar malware y combatir las protecciones contra malware introducidas en los últimos años.
“El spyware Mandrake está evolucionando de forma dinámica, mejorando sus métodos de ocultación, evasión de entornos protegidos y sorteando nuevos mecanismos de defensa”, escribieron los investigadores de Kaspersky Tatyana Shishkova e Igor Golovin. “Después de que las aplicaciones de la primera campaña permanecieran sin detectar durante cuatro años, la campaña actual estuvo al acecho en las sombras durante dos años, mientras aún estaba disponible para su descarga en Google Play. Esto pone de relieve las formidables habilidades de los actores de amenazas, y también que los controles más estrictos de las aplicaciones antes de su publicación en los mercados solo se traducen en amenazas más sofisticadas y más difíciles de detectar que se cuelan en los mercados oficiales de aplicaciones.
Una característica clave de la última generación de Mandrake son las múltiples capas de ofuscación diseñadas para evitar el análisis por parte de los investigadores y eludir el proceso de verificación que utiliza Google Play para identificar aplicaciones maliciosas. Las cinco aplicaciones que descubrió Kaspersky aparecieron por primera vez en Play en 2022 y permanecieron disponibles durante al menos un año. La aplicación más reciente se actualizó el 15 de marzo y se eliminó del mercado de aplicaciones ese mismo mes. A principios de este mes, ninguno de los principales proveedores de detección de malware detectó ninguna de las aplicaciones como maliciosa.
Un medio de ofuscación era mover la funcionalidad maliciosa a bibliotecas nativas, que estaban ofuscadas. Anteriormente, Mandrake almacenaba la lógica maliciosa de la primera etapa en lo que se conoce como el archivo DEX de la aplicación, un tipo de archivo que es fácil de analizar. Al cambiar la ubicación a la biblioteca nativa libopencv_dnn.so, el código de Mandrake es más difícil de analizar y detectar porque las bibliotecas nativas son más difíciles de inspeccionar. Al ofuscar la biblioteca nativa mediante el archivo DEX de la aplicación, se puede evitar que se produzcan errores. Ofuscador OLLVMLas aplicaciones de Mandrake eran aún más sigilosas.
Los principales objetivos de Mandrake son robar las credenciales del usuario y descargar y ejecutar aplicaciones maliciosas de siguiente nivel. Pero estas acciones se llevan a cabo solo en infecciones de etapa posterior que se aplican solo a un pequeño número de objetivos cuidadosamente seleccionados. El método principal es grabar la pantalla mientras la víctima ingresa un código de acceso. La grabación de la pantalla se inicia mediante un servidor de control que envía comandos como start_v, start_i o start_a. Los investigadores explicaron:
Cuando Mandrake recibe un comando start_v, el servicio se inicia y carga la URL especificada en una vista web propiedad de la aplicación con una interfaz JavaScript personalizada, que la aplicación utiliza para manipular la página web que carga.
Mientras se carga la página, la aplicación establece una conexión websocket y comienza a tomar capturas de pantalla de la página a intervalos regulares, mientras las codifica en cadenas base64 y las envía al servidor C2. Los atacantes pueden usar comandos adicionales para ajustar la velocidad de fotogramas y la calidad. Los actores de amenazas llaman a esto “vnc_stream”. Al mismo tiempo, el servidor C2 puede enviar comandos de control que hacen que la aplicación ejecute acciones, como deslizar el dedo hacia una coordenada determinada, cambiar el tamaño y la resolución de la vista web, cambiar entre los modos de visualización de la página de escritorio y móvil, habilitar o deshabilitar la ejecución de JavaScript, cambiar el agente de usuario, importar o exportar cookies, ir hacia atrás y hacia adelante, actualizar la página cargada, hacer zoom en la página cargada, etc.
Cuando Mandrake recibe un comando start_i, carga una URL en una vista web, pero en lugar de iniciar una transmisión “VNC”, el servidor C2 comienza a grabar la pantalla y guarda la grabación en un archivo. El proceso de grabación es similar al escenario “VNC”, pero las capturas de pantalla se guardan en un archivo de video. También en este modo, la aplicación espera hasta que el usuario ingrese sus credenciales en la página web y luego recopila cookies de la vista web.
El comando start_a permite ejecutar acciones automatizadas en el contexto de la página actual, como deslizar, hacer clic, etc. Si este es el caso, Mandrake descarga los escenarios de automatización desde la URL especificada en las opciones del comando. En este modo, también se graba la pantalla.
Las grabaciones de pantalla se pueden cargar al C2 con los comandos upload_i o upload_d.
Ni Kaspersky ni Bitdefender han revelado quién es el responsable del grupo ni cuáles son sus motivos para difundir un software espía y una aplicación de robo de credenciales tan sofisticada como Mandrake. Las aplicaciones que Kaspersky descubrió aparecen en la siguiente tabla. Google las ha eliminado de Google Play. En la publicación de Kaspersky se pueden encontrar otros indicadores de vulnerabilidad.
| Nombre del paquete | Nombre de la aplicación | MD5 | Desarrollador | Liberado | Última actualización en Google Play | Descargas |
| com.airft.ftrnsfr | Sistema de archivos AirFS | 33fdfbb1acdc226eb177eb42f3d22db4 | it9042 | 28 de abril, 2022 |
15 de marzo, 2024 |
30.305 |
| com.astro.dscvr | Explorador astronómico | 31ae39a7abeea3901a681f847199ed88 | Shevabad | 30 de mayo, 2022 |
6 de junio de 2023 |
718 |
| com.shrp.sight | Ámbar | b4acfaeada60f41f6925628c824bb35e | código lda | 27 de febrero, 2022 |
19 de agosto, 2023 |
19 |
| com.cryptopulsing.browser | Criptopulsando | e165cda25ef49c02ed94ab524fafa938 | Shevabad | 02 de noviembre, 2022 |
6 de junio de 2023 |
790 |
| es.brnmth.mtrx | Matriz cerebral | – | código lda | 27 de abril, 2022 |
6 de junio de 2023 |
259 |
