Ciberseguridad 360 | Software espía para Android infiltrado en Google Play desde 2022

Se ha encontrado una nueva versi�n del spyware para Android 'Mandrake' en cinco aplicaciones descargadas 32.000 veces desde Google Play, la tienda oficial de aplicaciones de la plataforma.

Bitdefender document� por primera vez Mandrake en 2020, los investigadores destacaron las sofisticadas capacidades de espionaje del malware y se�alaron que ha operado en la naturaleza desde al menos 2016.

Kaspersky informa ahora de que una nueva variante de Mandrake que presenta una mejor ofuscaci�n y evasi�n se col� en Google Play a trav�s de cinco aplicaciones enviadas a la tienda en 2022.

Esas apps permanecieron disponibles durante al menos un a�o, mientras que la �ltima, AirFS, que fue la m�s exitosa en t�rminos de popularidad e infecciones, fue retirada a finales de marzo de 2024.

AirFS en Google Play

Fuente: Kaspersky

Kaspersky identific� las cinco aplicaciones portadoras de Mandrake de la siguiente manera:

AirFS - File sharing via Wi-Fi de it9042 (30.305 descargas entre el 28 de abril de 2022 y el 15 de marzo de 2024)
Astro Explorer de shevabad (718 descargas entre el 30 de mayo de 2022 y el 6 de junio de 2023)
Amber de kodaslda (19 descargas entre el 27 de febrero de 2022 y el 19 de agosto de 2023)
CryptoPulsing de shevabad (790 descargas desde el 2 de noviembre de 2022 hasta el 6 de junio de 2023)
Brain Matrix de kodaslda (259 descargas entre el 27 de abril de 2022 y el 6 de junio de 2023)

La empresa de ciberseguridad afirma que la mayor�a de las descargas proceden de Canad�, Alemania, Italia, M�xico, Espa�a, Per� y Reino Unido.

Cuatro aplicaciones que dejan caer el malware Mandrake en el dispositivo de la v�ctima

Fuente: Kaspersky

Evadir la detecci�n

A diferencia del t�pico malware para Android, que coloca la l�gica maliciosa en el archivo DEX de la aplicaci�n, Mandrake oculta su fase inicial en una biblioteca nativa, 'libopencv_dnn.so', que est� fuertemente ofuscada mediante OLLVM.

Tras la instalaci�n de la aplicaci�n maliciosa, la biblioteca exporta funciones para descifrar el cargador DEX de la segunda etapa desde su carpeta de activos y cargarlo en la memoria.

La segunda etapa solicita permisos para dibujar superposiciones y carga una segunda biblioteca nativa, 'libopencv_java3.so', que descifra un certificado para comunicaciones seguras con el servidor de mando y control (C2).

Una vez establecida la comunicaci�n con el C2, la aplicaci�n env�a un perfil de dispositivo y recibe el componente central de Mandrake (tercera etapa) si lo considera adecuado.

Una vez activado el componente central, el spyware Mandrake puede llevar a cabo una amplia gama de actividades maliciosas, como la recopilaci�n de datos, la grabaci�n y monitorizaci�n de pantallas, la ejecuci�n de comandos, la simulaci�n de toques y deslizamientos del usuario, la gesti�n de archivos y la instalaci�n de aplicaciones.

En particular, los actores de la amenaza pueden incitar a los usuarios a instalar m�s APKs maliciosos mostrando notificaciones que imitan a Google Play, con la esperanza de enga�ar a los usuarios para que instalen archivos no seguros a trav�s de un proceso aparentemente fiable.

Kaspersky dice que el malware tambi�n utiliza el m�todo de instalaci�n basado en sesiones para eludir las restricciones de Android 13 (y posteriores) sobre la instalaci�n de APKs de fuentes no oficiales.

Al igual que otros programas maliciosos para Android, Mandrake puede pedir permiso al usuario para ejecutarse en segundo plano y ocultar el icono de la aplicaci�n en el dispositivo de la v�ctima, operando de forma sigilosa.

La �ltima versi�n del malware tambi�n presenta evasi�n de bateador, ahora comprobando espec�ficamente la presencia de Frida, un conjunto de herramientas de instrumentaci�n din�mica popular entre los analistas de seguridad.

Tambi�n comprueba el estado root del dispositivo, busca binarios espec�ficos asociados a �l, verifica si la partici�n del sistema est� montada como s�lo lectura y comprueba si los ajustes de desarrollo y ADB est�n activados en el dispositivo.

La amenaza de Mandrake sigue viva, y aunque las cinco aplicaciones identificadas como droppers por Kaspersky ya no est�n disponibles en Google Play, el malware podr�a regresar a trav�s de nuevas aplicaciones m�s dif�ciles de detectar.

Se recomienda a los usuarios de Android que s�lo instalen aplicaciones de editores fiables, que comprueben los comentarios de los usuarios antes de instalarlas, que eviten conceder permisos peligrosos que no parezcan estar relacionados con la funci�n de la aplicaci�n y que se aseguren de que Play Protect est� siempre activo.

Google comparti� la siguiente declaraci�n sobre las aplicaciones maliciosas encontradas en Google Play.

�Google Play Protect mejora continuamente con cada aplicaci�n identificada. Siempre estamos mejorando sus capacidades, incluyendo la pr�xima detecci�n de amenazas en vivo para ayudar a combatir las t�cnicas de ofuscaci�n y anti-evasi�n�, dijo Google.

�Los usuarios de Android est�n protegidos autom�ticamente contra las versiones conocidas de este malware por Google Play Protect, que est� activado por defecto en los dispositivos Android con Google Play Services. Google Play Protect puede advertir a los usuarios o bloquear apps conocidas por mostrar un comportamiento malicioso, incluso cuando esas apps provienen de fuentes externas a Play.�

Fuente: bleepingcomputer