El spyware Mandrake ha reaparecido en Google Play, operando en secreto durante dos años y logrando más de 32,000 instalaciones antes de ser detectado y eliminado. En abril de 2024, Kaspersky identificó una nueva versión de este sofisticado malware en cinco aplicaciones diferentes, que había logrado infiltrarse desde 2022 sin ser detectado. Mandrake utilizó técnicas avanzadas de evasión y ofuscación, moviendo su funcionalidad maliciosa a bibliotecas nativas, implementando pinning de certificados para comunicaciones C2, y realizando pruebas para evitar la detección en dispositivos rooteados o emulados.
Aplicaciones afectadas
- AirFS (com.airft.ftrnsfr): 30,305 descargas.
- Astro Explorer (com.astro.dscvr): 718 descargas.
- Amber (com.shrp.sght): 19 descargas.
- CryptoPulsing (com.cryptopulsing.browser): 790 descargas.
- Brain Matrix (com.brnmth.mtrx): no se pudo obtener el archivo APK.
Técnicas de evasión utilizadas
- Obfuscación con OLLVM: Para dificultar el análisis estático del código.
- Comunicación segura mediante pinning de certificados: Para evitar la intercepción de comunicaciones con los servidores de comando y control (C2).
- Evitación de entornos de análisis y dispositivos rooteados: El malware detecta estos entornos y desactiva su funcionalidad maliciosa para evitar ser descubierto.
Recursos para investigadores
Para aquellos interesados en investigar este malware, se han proporcionado enlaces a muestras disponibles en la plataforma Koodous:
Más información
Para obtener más detalles sobre el resurgimiento del spyware Mandrake y su impacto, se pueden consultar los siguientes artículos: