El malware Mandrake resurge en Google Play y pasa desapercibido dos años.
El spyware Mandrake ha resurgido en Google Play, operando en secreto durante dos años. Este sofisticado malware, detectado en cinco aplicaciones diferentes, ha logrado más de 32,000 instalaciones antes de ser identificado y eliminado.
Malware Mandrake
En abril de 2024, Kaspersky descubrió una nueva versión del spyware Mandrake en Google Play. Este malware había logrado infiltrarse en cinco aplicaciones diferentes desde 2022, sin ser detectado. Utilizando técnicas avanzadas de evasión y ofuscación, Mandrake movió su funcionalidad maliciosa a bibliotecas nativas, implementó pinning de certificados para comunicaciones C2 y realizó pruebas para evitar su detección en dispositivos rooteados o emulados.
Aplicaciones afectadas:
- AirFS (com.airft.ftrnsfr): 30,305 descargas.
- Astro Explorer (com.astro.dscvr): 718 descargas.
- Amber (com.shrp.sght): 19 descargas.
- CryptoPulsing (com.cryptopulsing.browser): 790 descargas.
- Brain Matrix (com.brnmth.mtrx): no se pudo obtener el archivo APK.
Técnicas de evasión utilizadas:
- Obfuscación con OLLVM.
- Comunicación segura mediante pinning de certificados.
- Evitación de entornos de análisis y dispositivos rooteados.