Una nueva versión de un sofisticado software espía para Android llamado Mandrágora fue descubierto en cinco aplicaciones disponibles para descargar en Google Play Store y permaneció sin ser detectado durante dos años.
Las aplicaciones atrajeron más de 32.000 instalaciones antes de ser eliminadas de la tienda de aplicaciones, dijo Kaspersky en un comunicado el lunes. La mayoría de las descargas provinieron de Canadá, Alemania, Italia, México, España, Perú y Reino Unido.
“Las nuevas muestras incluían nuevas capas de técnicas de ofuscación y evasión, como mover funcionalidad maliciosa a bibliotecas nativas ofuscadas, usar fijación de certificados para comunicaciones C2 y ejecutar una amplia gama de pruebas para comprobar si Mandrake funcionaba en un dispositivo rooteado o en un emulado. medio ambiente”, dijeron los investigadores Tatyana Shishkova e Igor Golovin. dicho.
La mandrágora era documentado por primera vez por el proveedor rumano de ciberseguridad Bitdefender en mayo de 2020, describiendo su enfoque deliberado para infectar un puñado de dispositivos mientras se oculta con éxito en las sombras desde 2016.
Las variantes actualizadas se caracterizan por el uso de OLLVM para ofuscar la funcionalidad principal, al tiempo que integra una gama de técnicas antianálisis y evasión de espacio aislado para evitar la ejecución de código en entornos explotados por analistas de malware.
La lista de aplicaciones que contienen Mandrake se encuentra a continuación:
- AirFS (com.airft.ftrnsfr)
- Ámbar (com.shrp.sght)
- Astro Explorer (com.astro.dscvr)
- Matriz cerebral (com.brnmth.mtrx)
- CriptoPulsing (com.cryptopulsing.browser)
El paquete de aplicaciones se divide en tres etapas: un dropper que lanza un cargador responsable de ejecutar el componente principal del malware después de descargarlo y descifrarlo desde un servidor de comando y control (C2).
La carga útil de la segunda etapa también es capaz de recopilar información sobre el estado de conectividad del dispositivo, las aplicaciones instaladas, el porcentaje de batería, la dirección IP externa y la versión actual de Google Play. Además, puede borrar el módulo principal y solicitar permisos para dibujar superposiciones y ejecutarlo en segundo plano.
La tercera etapa admite comandos adicionales para cargar una URL específica en un WebView e iniciar una sesión remota para compartir pantalla, así como grabar la pantalla del dispositivo con el objetivo de robar las credenciales de los usuarios y difundir más malware.
“Android 13 introdujo la función” Configuración restringida “, que prohíbe que las aplicaciones descargadas soliciten directamente permisos peligrosos”, dijeron los investigadores. “Para evitar esta característica, Mandrake trata la instalación con un “basado en sesiones‘paquete de instalación.”
La firma de seguridad rusa describió a Mandrake como un ejemplo de una amenaza en constante evolución que refina constantemente sus conocimientos para eludir los mecanismos de defensa y evadir la detección.
“Esto resalta las formidables habilidades de los actores de amenazas, y también que controles más estrictos para las aplicaciones antes de que sean lanzadas a los mercados sólo resultan en amenazas más sofisticadas y más difíciles de detectar que se cuelan en los mercados de aplicaciones oficiales”, dijo.
Contactado por The Hacker News, Google dijo que está fortaleciendo continuamente las defensas de Google Play Protect a medida que se informan sobre nuevas aplicaciones maliciosas y mejorando sus capacidades para incluir detección de amenazas en vivo para combatir las técnicas de ofuscación y anti-evasión.
“Los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware mediante Google Play Protect, que está habilitado de forma predeterminada en dispositivos Android equipados con Google Play Services”, dijo un portavoz de Google. “Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que se sabe que exhiben un comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes externas a Play. »