Categoría Ciberseguridad Seguridad TIC
Categoría Ciberseguridad / Seguridad / TIC

Malware Mandrake

Malware Mandrake

El malware Mandrake resurge en Google Play y pasa desapercibido dos años. El spyware Mandrake ha resurgido en Google Playoperando en secreto durante dos años. Este sofisticado malware, detectado en cinco aplicaciones diferentes, ha logrado más de 32,000 instalaciones antes de ser identificado y eliminado.

Malware Mandrake

En abril de 2024, Kaspersky descubrió una nueva versión del spyware Mandrake en Google Play. Este malware había logrado infiltrarse en cinco aplicaciones diferentes desde 2022, sin ser detectado. Utilizando técnicas avanzadas de evasión y ofuscación, Mandrake movió su funcionalidad maliciosa a bibliotecas nativas, implementó pinning de certificados para comunicaciones C2 y realizó pruebas para evitar su detección en dispositivos rooteados o emulados.

Aplicaciones afectadas:

  • AirFS (com.airft.ftrnsfr): 30,305 descargas.
  • Astro Explorer (com.astro.dscvr): 718 descargas.
  • Amber (com.shrp.sght): 19 descargas.
  • CryptoPulsing (com.cryptopulsing.browser): 790 descargas.
  • Brain Matrix (com.brnmth.mtrx): no se pudo obtener el archivo APK.

Técnicas de evasión utilizadas:

  • Obfuscación con OLLVM.
  • Comunicación segura mediante pinning de certificados.
  • Evitación de entornos de análisis y dispositivos rooteados.

Aplicaciones Infectadas (Campaña 2022-2024)
Investigadores identificaron cinco aplicaciones que distribuían este spyware bajo la apariencia de herramientas de productividad y juegos: 

  1. AirFS (com.airft.ftrnsfr)
  2. Astro Explorer (com.astro.dscvr)
  3. Amber (com.shrp.sght)
  4. CryptoPulsing (com.cryptopulsing.browser)
  5. Brain Matrix (com.brnmth.mtrx) 

Cómo funciona e impacto

El malware Mandrake se oculta en aplicaciones legítimas, las cuales, una vez instaladas, descargan componentes adicionales maliciosos para tomar el control de la información del usuario. Puede modificar la configuración del sistema, aumentar el uso de datos y batería, y comprometer la seguridad del dispositivo, provocando graves riesgos de privacidad e identidad.

Recomendaciones de Seguridad

  • Desinstalar aplicaciones sospechosas: Si se tiene alguna de las aplicaciones mencionadas, se debe eliminar inmediatamente.
  • Revisar permisos: Desactivar permisos de administrador para aplicaciones no reconocidas.
  • Antivirus confiable: Mantener un software de seguridad actualizado, que protege contra amenazas conocidas y desconocidas.
  • Verificar fuentes: Aunque el malware estaba en Google Play, siempre es importante revisar las reseñas y la reputación del desarrollador antes de descargar aplicaciones. 
Android