Una variante no detectada del conocido software espía de Android ha estado escondida en la tienda de aplicaciones Google Play durante casi dos años, infectando decenas de miles de dispositivos, advirtieron los expertos.
Kaspersky Lab informa que en abril de 2024, sus investigadores descubrieron una “muestra sospechosa” que resultó ser una nueva variante del mortal malware Mandrake.
Según Kaspersky Lab, el equipo descubrió un total de cinco aplicaciones de Android en las nuevas muestras. Estos estuvieron disponibles durante dos años. En total, estas aplicaciones se han descargado más de 32.000 veces. Estos se cargaron en 2022 y las aplicaciones individuales estuvieron disponibles para descargar durante “al menos un año”, lo que sugiere que no todas las aplicaciones estaban disponibles al mismo tiempo.
Oculto en criptomonedas y aplicaciones de astronomía
En cualquier caso, el malware estaba oculto en una aplicación para compartir archivos por Wi-Fi, una aplicación de servicio de astronomía, Amber para juegos Genshin, una aplicación de criptomonedas y una aplicación de acertijos lógicos. “Según VirusTotal, hasta julio de 2024, ningún proveedor ha detectado estas aplicaciones como malware”, concluyó Kaspersky, y agregó que, mientras tanto, Google las ha eliminado de su repositorio de aplicaciones.
Mandrake se descubrió por primera vez en 2020 y los analistas de seguridad dijeron que probablemente había estado activo desde 2016. Se trata de un software malicioso sofisticado que puede robar información confidencial, tomar control remoto de su dispositivo, realizar registros de teclas, realizar capturas de pantalla y extraer datos de su dispositivo.
Esta nueva variante presenta técnicas avanzadas de ofuscación y evasión para evadir la detección por parte de los proveedores de seguridad. Entre estas tecnologías se encuentra la capacidad de migrar funcionalidad maliciosa a bibliotecas nativas ofuscadas utilizando OLLVM y la implementación de fijación de certificados para una comunicación segura con servidores de comando y control (C2) y la capacidad de realizar comprobaciones exhaustivas para detectar si se está ejecutando en un servidor. dispositivo rooteado o dentro de un entorno emulado.
El malware también pudo eludir los controles de seguridad de Google Play.
Ninguna de estas aplicaciones está disponible actualmente en Google Play, pero cuando lo estaban, la mayoría de las descargas procedían de Canadá, Alemania, Italia, México, España, Perú y el Reino Unido.
Kaspersky Lab sugiere que los atacantes probablemente sean de Rusia, ya que todos los dominios C2 están registrados en Rusia.
Más artículos de TechRadar Pro
Fuente: https://www.techradar.com/pro/security/this-dangerous-android-malware-has-been-hiding-on-the-play-store-for-years