La nueva versión del software espía avanzado permanece sin ser detectada en la tienda de aplicaciones de Google durante dos años


Una sofisticada herramienta de ciberespionaje llamada Mandrake apuntó a usuarios en Canadá, Alemania, Italia, México, España, Perú y el Reino Unido y fue descubierta en cinco aplicaciones que han estado disponibles para descargar en Google Play durante aproximadamente dos años.

Las aplicaciones se instalaron más de 32.000 veces y no fueron detectadas por ninguna herramienta de seguridad, según un informe publicado el lunes por la firma de ciberseguridad Kaspersky.

Mandrake fue descrito anteriormente como un “malware para Android muy sofisticado”. Fue descubierto en 2020 por investigadores de la empresa de ciberseguridad Bitdefender, con sede en Rumania, pero había estado activo durante al menos cuatro años antes.

En ese momento, los investigadores estimaron que el número de víctimas durante el período de cuatro años era de “cientos de miles”.

A principios de abril, investigadores del Kaspersky Lab, con sede en Moscú, descubrieron una “muestra sospechosa” que, según afirmaron, era una nueva versión de Mandrake que utiliza técnicas más avanzadas para evitar la detección.

La última versión de Mandrake estaba oculta dentro de cinco aplicaciones de Android, incluido un servicio de aprendizaje de astronomía, una aplicación de entrenamiento de la memoria, un servicio para compartir archivos, una aplicación de juegos y una plataforma para entusiastas de las criptomonedas. Estas aplicaciones estuvieron publicadas en Google Play Store durante casi dos años, pero se eliminaron a finales de marzo de 2024.

Mandrake recopila información sobre su dispositivo en varias etapas. Primero, recopilamos datos sobre su dispositivo, incluida una lista de aplicaciones instaladas, datos de red móvil, dirección IP e identificación única del dispositivo.

Según Kaspersky, una vez que un atacante se interesa por una víctima basándose en esta información, puede activar WiFi en el dispositivo, iniciar un screencast con acceso remoto o acceder a cuentas de usuario y credenciales para páginas web seleccionadas. componente principal del malware, que incluye funciones avanzadas como el acceso.

Los operadores de malware evitan los países donde los dispositivos infectados no son rentables. Por ejemplo, Bitdefender dijo que en ataques anteriores, Mandrake evitó víctimas en países de bajos ingresos, países africanos, países de la ex Unión Soviética y países de habla árabe.

No está claro cómo utilizaron los piratas informáticos la información obtenida durante el ataque ni qué daño causó el ataque. Los actores de amenazas detrás de Mandrake no han sido identificados, pero informes de Kaspersky y Bitdefender han vinculado el malware con Rusia.

Kaspersky dijo que los nuevos hallazgos sugieren que Mandrake está “evolucionando constantemente, refinando sus técnicas de disfraz y evadiendo nuevos mecanismos de defensa”.

El hecho de que este malware haya permanecido sin ser detectado en Google Play durante tantos años “habla de la sofisticación de los atacantes. Además, se han implementado mayores restricciones y controles antes de que las aplicaciones salgan al mercado”. llegan a las tiendas de aplicaciones oficiales y se vuelven más difíciles de detectar”, dijeron los investigadores.

Google no respondió de inmediato a una solicitud de comentarios.

Para más información

futuro grabado

nube de inteligencia.

aprende más.



Fuente: https://therecord.media/mandrake-spyware-found-on-google-play-kaspersky