Mandrake Mobile Malware utiliza métodos furtivos para engañar a los usuarios

Después de más de dos años de esconderse a plena vista, una misteriosa familia de malware para Android conocida como Mandrake ha vuelto a surgir en Google Play. Mandrake, disfrazada de aplicaciones legítimas en categorías como intercambio de archivos, astronomía y criptomonedas, tiene un historial de ocultar eficazmente sus actividades de espionaje. Identificado por primera vez por la empresa de seguridad Bitdefender en 2020, el resurgimiento de Mandrake subraya los desafíos actuales en la seguridad móvil.

La evolución de la mandrágora

Los operadores de Mandrake han demostrado ser expertos en evadir la detección. Inicialmente activo en dos oleadas (de 2016 a 2017 y de 2018 a 2020), Mandrake emplea varias tácticas sofisticadas para pasar desapercibido:

• Orientación geográfica : Mandrake evita operar en 90 países, incluidos los de la antigua Unión Soviética, lo que reduce el riesgo de detección.
• Orientación selectiva : el malware entrega su carga útil sólo a objetivos muy específicos.
• Mecanismo de autodestrucción : Mandrake presenta un interruptor de apagado, llamado "seppuku" (una forma de suicidio ritual japonés), que borra todos los rastros del malware.
• Aplicaciones señuelo : Las aplicaciones señuelo completamente funcionales en varias categorías, como finanzas, automóviles y vehículos, y productividad, ayudan a enmascarar su verdadera intención.
• Respuesta rápida : los desarrolladores solucionan rápidamente los errores informados en los comentarios de la aplicación para mantener una fachada de legitimidad.
• Fijación de certificados TLS : esta técnica oculta las comunicaciones con los servidores de comando y control.

Una nueva ola de intrusión

Tras el informe de Bitdefender de 2020, Mandrake pareció desaparecer de Google Play. Sin embargo, la empresa de seguridad Kaspersky ha informado que el malware reapareció en 2022, pasando desapercibido hasta hace poco. La nueva ola de aplicaciones infectadas con Mandrake introdujo varias medidas avanzadas para mejorar el ocultamiento, evadir el análisis del sandbox y eludir las protecciones de malware recientes.

Los investigadores de Kaspersky Tatyana Shishkova e Igor Golovin destacaron la evolución dinámica de Mandrake y señalaron que su última campaña pasó desapercibida durante dos años mientras estaba disponible para descargar en Google Play. Esto ilustra las habilidades sofisticadas de los actores de amenazas y el desafío continuo de hacer cumplir controles de aplicaciones más estrictos sin permitir inadvertidamente que se escapen amenazas más sofisticadas.

Técnicas avanzadas de ofuscación

Una característica clave de la última generación de Mandrake son sus múltiples capas de ofuscación, diseñadas para frustrar el análisis y evadir la detección:

• Bibliotecas nativas : la funcionalidad maliciosa se ha trasladado a bibliotecas nativas, lo que hace que el malware sea más difícil de analizar y detectar.
• OLLVM Obfuscator : esta herramienta ofusca aún más la biblioteca nativa, mejorando el sigilo de Mandrake.

El objetivo principal de Mandrake es robar las credenciales de los usuarios y descargar y ejecutar aplicaciones maliciosas de siguiente etapa. Estas acciones ocurren sólo en infecciones en etapas avanzadas y están dirigidas a un pequeño número de víctimas cuidadosamente seleccionadas. Un método consiste en grabar la pantalla mientras la víctima ingresa su contraseña.

La batalla en curso

El resurgimiento de Mandrake resalta la naturaleza persistente y evolutiva de las amenazas de malware móvil. A pesar de las mejoras en las medidas de seguridad y los procesos de investigación de aplicaciones, los actores de amenazas continúan desarrollando métodos más sofisticados para infiltrarse en los mercados oficiales de aplicaciones. Como demuestra la historia de Mandrake, la vigilancia y la innovación continua en las prácticas de seguridad son cruciales para proteger a los usuarios de estos peligros ocultos.