Este poderoso malware para Android permaneció oculto durante años
Una campaña de hacking y espionaje cuidadosamente administrada está infectando a los teléfonos inteligentes con una forma potente de malware para Android. Este malware está proporcionando a los que están detrás de él un control total del dispositivo. Asimismo, permanece completamente oculto para el usuario.
El spyware Mandrake abusa de las funciones legítimas de Android para ayudar a obtener acceso a todo el dispositivo comprometido. Esto mediante ataques que pueden reunir casi cualquier información sobre el usuario.
El atacante puede navegar y recopilar todos los datos en el dispositivo, robar credenciales de cuentas para cuentas que incluyen aplicaciones bancarias. También realiza grabaciones en secreto de la actividad en la pantalla, rastrea la ubicación GPS del usuario y más, todo mientras cubre sus pistas continuamente.
Las capacidades de Mandrake, que se ha observado que apunta a usuarios en Europa y América, fueron detalladas en un documento de investigación de Bitdefender.
Mandrake ha estado activo desde 2016 y los investigadores detallaron previamente cómo la operación de spyware estaba dirigida específicamente a los usuarios australianos. Empero, ahora se dirige a las víctimas de todo el mundo.
Selección de objetivos
“El objetivo final de Mandrake es el control completo del dispositivo, así como el compromiso de la cuenta. Esta es una de las piezas más potentes de malware de Android que hemos visto hasta ahora”. Esto según las afirmaciones del Director de Investigación e Informes de Amenazas de Bogdan Botezatu en Bitdefender.
No está claro qué tan extendidas son las campañas, pero el malware no se envía como otras campañas. Los atacantes parecen elegir cuidadosamente a sus víctimas y una vez que tienen un objetivo valioso comprometido, controlarán manualmente las acciones de Mandrake. Esto para manipular la mayor cantidad de información posible del usuario.
“Estimamos el número de víctimas en decenas de miles para la campaña actual, y probablemente cientos de miles durante todo el período de cuatro años”. Según afirmaciones de la compañía.
Cuando los atacantes han obtenido toda la información que desean de la víctima, Mandrake tiene un interruptor de apagado que elimina el malware del dispositivo.
Los operadores de Mandrake han hecho un gran esfuerzo para asegurarse de que se haya mantenido oculto a lo largo de los años. Incluso han llegado a desarrollar, cargar y mantener varias aplicaciones en Google Play Store, bajo los nombres de varios desarrolladores diferentes. Algunos de estos fueron diseñados para dirigirse a países específicos. Las aplicaciones ahora se han eliminado.
Con el fin de mantener a los usuarios contentos, las aplicaciones eran en su mayoría libres de publicidad y enviaban correcciones regularmente. Algunas de las aplicaciones incluso tenían páginas de redes sociales, todas diseñadas para convencer a los usuarios de descargarlas y confiar en ellas.
Evadiendo la detección
El malware evitaba la detección por parte de Google Play mediante el uso de un proceso de varias etapas para ocultar el payload. La aplicación se instala en el teléfono y luego se pone en contacto con el servidor para descargar un cargador. Este proporciona las capacidades adicionales que Mandrake necesita para tomar el control del dispositivo.
“El malware opera en etapas, siendo la primera etapa una aplicación benigna sin comportamiento malicioso. Aparte de la capacidad de descargar e instalar un payload en la segunda etapa cuando se le indique expresamente. Es seguro decir que el operador no desencadenó este comportamiento malicioso mientras se ejecutaba en el entorno de análisis de Google”, explicó Botezatu.
El malware engaña al usuario para que le otorgue privilegios adicionales en el dispositivo.
“Lo que parece ser un proceso simple, como pasar por un Contrato de licencia de usuario final y aceptarlo, se traduce realmente detrás de escena en solicitar y otorgar permisos extremadamente potentes. Con esos permisos, el malware obtiene el control completo del dispositivo y los datos“, dijo Botezatu.
Aún no está claro quién es el objetivo exacto de Mandrake. Tampoco por qué, los atacantes son conscientes de que, si empujan el bote demasiado lejos, es más probable que se descubra su campaña.
No sabemos quién dirige la operación ciberdelincuente detrás de Mandrake. Empero, el malware evitará específicamente ejecutarse en dispositivos en países de la antigua Unión Soviética, África y Oriente Medio. Los investigadores señalan que algunos de los primeros países exentos de los ataques de Mandrake fueron Ucrania, Bielorrusia, Kirguistán y Uzbekistán.
Respuesta de Google
Hemos contactado con Google para obtener comentarios, pero no hemos recibido una respuesta al momento de escribir el artículo.
Es probable que la campaña Mandrake siga funcionando. Seguramente solo sea cuestión de tiempo antes de que los que están detrás de ella intenten distribuir nuevas aplicaciones para distribuir el malware.
Para evitar ser víctima de una campaña de este tipo, debes asegurarte de confiar y conocer la compañía que ha desarrollado la aplicación. A veces puede ser mejor evitar descargar aplicaciones de nuevas fuentes, incluso si están en la tienda de descargas oficial.