Kaspersky descubre una nueva campaña del spyware Mandrake en Google Play

Durante dos años, usuarios de varios países, entre ellos México y Perú, realizaron
más de 32 mil descargas de este software espía que se ocultó bajo aplicaciones
legítimas comercializadas en esta tienda.

31 de julio de 2024
Los investigadores de Kaspersky han identificado una nueva campaña de software espía que
distribuye el malware Mandrake a través de Google Play bajo la apariencia de aplicaciones
legítimas relacionadas con criptomonedas, astronomía y herramientas de utilidad. Los expertos
de Kaspersky han descubierto cinco aplicaciones de Mandrake en Google Play, que estuvieron
disponibles durante dos años, con más de 32,000 descargas. Las últimas muestras cuentan con
técnicas avanzadas de ofuscación y evasión, lo que les permite pasar desapercibidos para los
proveedores de seguridad.
Si bien estas aplicaciones maliciosas ya no están disponibles en Google Play, fueron comercializadas
en una amplia gama de países y la mayoría de las descargas se realizaron en México, Perú, Canadá,
Alemania, Italia, España y el Reino Unido.
Identificado por primera vez en 2020, el software espía Mandrake es una sofisticada plataforma de
espionaje de Android que ha estado activa desde al menos 2016. En abril de 2024, los investigadores
de Kaspersky descubrieron una muestra sospechosa que sugería una nueva versión de Mandrake con
funcionalidad mejorada. Estas nuevas muestras presentan técnicas avanzadas de ofuscación y
evasión, incluido el cambio de funciones maliciosas a bibliotecas nativas ofuscadas usando OLLVM, la
implementación de fijación de certificados para una comunicación segura con servidores de comando y
control (C2) y la realización de comprobaciones exhaustivas para detectar si Mandrake está
funcionando en un dispositivo rooteado. o dentro de un entorno emulado.
La característica distintiva clave de la nueva variante de Mandrake es la adición de técnicas avanzadas
de ofuscación diseñadas para eludir los controles de seguridad de Google Play y obstaculizar el
análisis. Los expertos de la compañía identificaron cinco aplicaciones que contenían el software espía
Mandrake, descargadas en conjunto más de 32,000 veces. Estas aplicaciones, todas publicadas en
Google Play en 2022, estuvieron disponibles para descargar durante al menos un año. Se presentaron
como una aplicación para compartir archivos a través de Wi-Fi, una aplicación de servicios de
astronomía, un juego Amber para Genshin, una aplicación de criptomonedas y una aplicación con
acertijos de lógica. En julio de 2024, ningún proveedor ha detectado ninguna de estas aplicaciones
como malware, según VirusTotal.
Teniendo en cuenta las similitudes de la campaña actual y anterior con los dominios C2 registrados en
Rusia, asumimos con gran confianza que el actor de la amenaza es el mismo que se indica en el
primer informe de detección de Bitdefender.

“Después de evadir la detección durante cuatro años en sus versiones iniciales, la última campaña de
Mandrake permaneció sin ser detectada en Google Play durante dos años más. Esto demuestra las
habilidades avanzadas de los actores de amenazas involucrados. También destaca una tendencia
preocupante: a medida que las restricciones se endurecen y los controles de seguridad se vuelven más
rigurosos, aumenta la sofisticación de las amenazas que penetran en las tiendas de aplicaciones
oficiales, lo que las hace más difíciles de detectar”, comenta Tatyana Shishkova, investigadora
principal de seguridad en el Equipo Global de Investigación y Análisis de Kaspersky.
Para mantenerse a salvo de amenazas como el software espía Mandrake, los expertos de Kaspersky
recomiendan:
 Descarga aplicaciones únicamente desde tiendas oficiales: evita las tiendas de
aplicaciones de terceros, ya que el riesgo de que alberguen apps maliciosas o comprometidas
es mayor. Ten en cuenta que incluso las plataformas oficiales pueden alojar aplicaciones
maliciosas. Siempre verifica las reseñas y calificaciones antes de descargar.
 Utiliza un software de seguridad confiable: instala y mantén un software antivirus y
antimalware confiable en tus dispositivos. Escanea periódicamente tus equipos en busca de
posibles amenazas y actualiza tu software de seguridad de forma regular. Kaspersky Premium
protege a sus usuarios de amenazas conocidas y desconocidas.
 Infórmate sobre las estafas comunes: mantente informado sobre las últimas amenazas,
técnicas y tácticas cibernéticas. Ten cuidado con ofertas sospechosas, descargas no
solicitadas o demandas urgentes de información personal o financiera.
 El software de terceros de fuentes populares a menudo no tiene garantía: Ten en cuenta
que dichas aplicaciones pueden contener implantes maliciosos, por ejemplo, debido a ataques
de la cadena de suministro.
Para obtener más información sobre la nueva campaña de software espía de Mandrake, visite
Securelist.com.

Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de
mil millones dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques
dirigidos, la profunda experiencia en inteligencia de amenazas y seguridad de Kaspersky se está
continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a
empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portafolio
de productos de seguridad de la empresa incluye su reputada solución de protección para endpoints,
junto con una serie de soluciones y servicios de seguridad especializados, así como soluciones Cyber
Immune para combatir las sofisticadas y cambiantes amenazas digitales. Ayudamos a más de 220.000
clientes corporativos a proteger lo que más valoran. Obtenga más información en
https://latam.kaspersky.com
Kaspersky en redes sociales:
X: @KasperskyLatino           IG: Kaspersky Latinoamérica
FB: KasperskyLabLatam    IN: Kaspersky Lab Latinoamérica