Mandrake

Los investigadores de Infosec han descubierto una campaña de alto nivel dirigida a usuarios de Android ubicados en Australia con una herramienta llamada Mandrake . Por supuesto, los ciberdelincuentes detrás de la herramienta de piratería Mandrake pueden optar por cambiar su enfoque y dirigirse a usuarios desde una ubicación diferente en futuras campañas. El malware Mandrake surgió por primera vez en 2016. Desde que los analistas de malware detectaron la amenaza Mandrake, sus creadores han introducido actualizaciones periódicas. Los creadores de la amenaza Mandrake agregaron nuevas funciones, optimizaron las antiguas, eliminaron módulos innecesarios y, en general , mejoraron la herramienta de piratería para garantizar que siga siendo muy potente.

Mandrake recopila datos confidenciales de dispositivos infectados

El malware Mandrake se puede distribuir fácilmente a miles y miles de usuarios . Sin embargo, sus operadores no adoptan el enfoque del spam masivo. En cambio, parecen elegir sus objetivos con cuidado. Actualmente sólo hay unas 500 copias activas. La amenaza Mandrake puede clasificarse como software espía y parecería que sus autores sólo la están implementando en objetivos que han sido monitoreados durante un tiempo.

Si el software espía Mandrake compromete su dispositivo Android, podrá realizar una gran variedad de tareas. Dado que la amenaza Mandrake figura como software espía, su objetivo es recopilar información importante de los hosts objetivo. Es probable que el software espía Mandrake permita a sus operadores poner sus manos en los usuarios:

• Credenciales de acceso.

• Lista de contactos.

• Imágenes y vídeos almacenados en su galería.

• Información de cuenta bancaria.

• Detalles del pago.

• Conversaciones personales

Teniendo en cuenta la amplia gama de información que recopila el software espía Mandrake, es probable que sus operadores lo utilicen tanto para operaciones de chantaje como para campañas de fraude financiero.

Dado que los atacantes parecen acercarse a cada usuario objetivo de manera diferente, es probable que las víctimas sean seleccionadas con mucho cuidado. Es probable que la campaña de Mandrake sea llevada a cabo por un grupo de ciberdelincuentes altamente capacitados y con mucha experiencia que saben exactamente lo que están haciendo. Asegúrese de que su dispositivo Android esté protegido por una aplicación antivirus genuina y confiable.

El malware móvil Mandrake evolucionado se dirige a usuarios de Android

Se ha descubierto una nueva versión del altamente sofisticado software espía de Android , Mandrake, oculta en cinco aplicaciones de Google Play Store. Este software espía logró pasar desapercibido durante dos años.

Infiltración sigilosa: las aplicaciones y su alcance

Las cinco aplicaciones infectadas se descargaron más de 32.000 veces antes de ser eliminadas de Google Play Store. La mayoría de estas descargas se originaron en países como Canadá, Alemania, Italia, México, España, Perú y el Reino Unido.

Tácticas de evasión avanzadas

Las nuevas muestras de Mandrake presentaban capas avanzadas de técnicas de ofuscación y evasión:

• • Mover funcionalidad maliciosa a bibliotecas nativas ofuscadas

• Uso de la fijación de certificados para comunicaciones seguras de comando y control (C2)
• Realizar numerosas pruebas para detectar si el malware se estaba ejecutando en un dispositivo rooteado o en un entorno emulado.

Técnicas antianálisis

Las variantes actualizadas de Mandrake utilizaron OLLVM (Ofuscación LLVM) para ocultar su funcionalidad principal . Además, incorporaron varias técnicas de evasión y antianálisis del sandbox para evitar la detección por parte de los analistas de malware.

Las aplicaciones infectadas

Las cinco aplicaciones que contienen software espía Mandrake son:

AirFS (com.airft.ftrnsfr)

Ámbar (com. shrp . sght )

Astro Explorer (com.astro.dscvr)

Brain Matrix (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

Proceso de infección en múltiples etapas

Etapa uno: el cuentagotas

La infección inicial comienza con un gotero que lanza un cargador. Este cargador ejecuta el componente principal del malware después de descargarlo y descifrarlo desde un servidor C2 .

Etapa dos: recopilación de información

La carga útil de la segunda etapa recopila información sobre el dispositivo, que incluye:

• • Estado de conectividad

• • Aplicaciones instaladas

• • Porcentaje de batería

• • Dirección IP externa

• • Versión actual de Google Play

Además, puede borrar el módulo principal y solicitar permisos para dibujar superposiciones y ejecutarlo en segundo plano.

Etapa tres: robo de credenciales y más

La tercera etapa admite comandos adicionales, como:
Cargando una URL específica en un WebView

Iniciar una sesión remota para compartir pantalla

Grabar la pantalla del dispositivo para robar credenciales y eliminar más malware

Omitir la 'Configuración restringida' de Android 13

Mandrake emplea un instalador de paquetes 'basado en sesiones' para evitar la función 'Configuración restringida' de Android 13, que prohíbe que las aplicaciones descargadas soliciten directamente permisos inseguros.

Conclusión: una amenaza en constante evolución

Los investigadores describen a Mandrake como una amenaza que evoluciona dinámicamente y que perfecciona continuamente sus técnicas para eludir los mecanismos de defensa y evadir la detección. Esto muestra las formidables habilidades de los actores de amenazas y resalta la necesidad de controles más estrictos para las aplicaciones antes de que se publiquen en los mercados oficiales de aplicaciones.