'Creado para perdurar toda la vida'

'Creado para perdurar toda la vida'

Cover Image for Este peligroso malware para Android ha estado oculto en la Play Store durante años: revisa tus descargas con atención.

Este peligroso malware para Android ha estado oculto en la Play Store durante años: revisa tus descargas con atención.

Se ha detectado una nueva versión del malware Mandrake para Android.

Recientemente, se descubrió que una variante no detectada de un spyware conocido para Android estuvo presente en la tienda de aplicaciones de Google Play durante aproximadamente dos años, afectando a decenas de miles de dispositivos. Según un análisis realizado por Kaspersky, en abril de 2024, los investigadores identificaron una “muestra sospechosa” que resultó ser una nueva variante del malware Mandrake.

Esta variante llevó al equipo a identificar un total de cinco aplicaciones de Android que habían estado disponibles durante dos años, y que acumulaban más de 32,000 descargas. Estas aplicaciones fueron subidas en 2022, siendo accesibles durante al menos un año, lo que indica que no todas estaban disponibles simultáneamente. El malware se ocultaba en una aplicación de compartir archivos por Wi-Fi, un servicio de astronomía, un juego de Amber para Genshin, una aplicación de criptomonedas y una aplicación de acertijos lógicos. Hasta julio de 2024, ninguna de estas aplicaciones había sido identificada como malware por los proveedores de seguridad, según los datos de VirusTotal, aunque Google las retiró de su repositorio de aplicaciones.

Mandrake fue detectado por primera vez en 2020, aunque se cree que estuvo activo desde 2016. Este sofisticado software malicioso está diseñado para robar información sensible, obtener control remoto del dispositivo, y es capaz de realizar keylogging, capturas de pantalla y exfiltración de datos. La nueva variante implementó técnicas avanzadas de ofuscación y evasión, lo que le permitió permanecer indetectada por las herramientas de seguridad. Entre estas técnicas se incluye la capacidad de trasladar funciones maliciosas a bibliotecas nativas ofuscadas, utilizar pinning de certificados para comunicaciones seguras con servidores de comando y control (C2), y realizar extensas verificaciones para detectar si se ejecuta en un dispositivo con acceso root o en un entorno emulado.

El malware también logró eludir las verificaciones de seguridad de Google Play. Aunque actualmente ninguna de las aplicaciones está disponible en Google Play, durante su tiempo en la plataforma, la mayoría de las descargas provinieron de Canadá, Alemania, Italia, México, España, Perú y el Reino Unido. Según los investigadores, es probable que los atacantes tengan origen ruso, ya que todos los dominios de C2 están registrados en ese país.

  • spyware
  • Android
  • seguridad cibernética
Cuidado: un nuevo ransomware astuto puede robar datos de Google Chrome.
|