La plataforma de espionaje para Android Mandrake, que comenzó sus actividades en 2016 y fue descubierta por primera vez en 2020 por Bitdefender, está de vuelta. Se ha convertido en una versión más potente de sí misma que puede evadir los controles de Google Play, lo que dificulta su detección. Kaspersky Me encontré con cinco nuevas aplicaciones con software espía.
Según la empresa de ciberseguridad, cinco aplicaciones que estuvieron disponibles en Google Play entre 2022 y 2024 contenían la nueva versión del malware. En total, se descargaron más de 32.000 veces, principalmente por usuarios de Canadá, Alemania, Italia, México, España, Perú y el Reino Unido.
Aquí están los nombres de las aplicaciones infectadas:
- AirFS – 30,305 instalaciones
- Astro Explorer – 718 instalaciones
- Ámbar – 19 instalaciones
- CryptoPulsing – 790 instalaciones
- Brain Matrix – 259 instalaciones
La mayoría de estas aplicaciones permanecieron disponibles en Google Play durante al menos un año antes de ser eliminadas, y una de ellas (AirFS) fue eliminada recién en marzo de 2024. Hasta hoy, ninguna de las aplicaciones fue marcada como maliciosa por ningún proveedor de antivirus.
Las aplicaciones Mandrake emplearon nuevas capas de técnicas de ofuscación para pasar desapercibidas, como realizar actividades maliciosas en bibliotecas ofuscadas y usar fijación de certificados para evitar el rastreo de la red.
AirFS, que fue descargado la mayor cantidad de veces, se hizo pasar por una aplicación para compartir archivos, pero los usuarios se quejaron de que no funcionaba y robaba sus datos.
Eso no es todo lo que estas aplicaciones son capaces de hacer; el informe señala que pueden enviar información del dispositivo y una lista de aplicaciones instaladas a sus administradores, instalar más aplicaciones, cambiar íconos y solicitar permiso para ejecutarse en segundo plano.
Al igual que las versiones anteriores, la nueva plataforma Mandrake funciona en tres etapas. Solo intenta infectar a las víctimas cuando se considera que un objetivo es relevante. Esto se decide en función de la solidez de los datos.
Una vez que un dispositivo es designado como objetivo, el malware graba la pantalla y recopila cookies para robar credenciales y “descargar y ejecutar aplicaciones maliciosas de etapa siguiente”, que son los principales motivos de Mandrake.
Para que instales una nueva aplicación, Mandrake envía notificaciones que parecen provenir de Google Play. Androide 13La función de Configuración restringida se introdujo para evitar que las aplicaciones descargadas soliciten permisos peligrosos directamente, pero Mandrake es capaz de evitarla.
Revisa tu teléfono en busca de las aplicaciones mencionadas anteriormente y, si has descargado alguna de ellas, elimínala de inmediato.
Google dio la siguiente declaración a Computadora que emite pitidos Respecto a las aplicaciones:
Google Play Protect mejora continuamente con cada aplicación identificada. Siempre estamos mejorando sus capacidades, incluida la detección de amenazas en vivo para ayudar a combatir la ofuscación y las técnicas antievasión. Los usuarios de Android están protegidos automáticamente contra las versiones conocidas de este malware mediante Google Play Protect, que está activado de forma predeterminada en los dispositivos Android con los Servicios de Google Play. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que se sabe que exhiben un comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes externas a Play.
