El spyware Mandrake ha resurgido en Google Play, operando en secreto durante dos años. Este sofisticado malware, detectado en cinco aplicaciones diferentes, ha logrado más de 32,000 instalaciones antes de ser identificado y eliminado.

En abril de 2024, Kaspersky descubrió una nueva versión del spyware Mandrake en Google Play. Este malware había logrado infiltrarse en cinco aplicaciones diferentes desde 2022 sin ser detectado. Utilizando técnicas avanzadas de evasión y ofuscación, Mandrake movió su funcionalidad maliciosa a bibliotecas nativas, implementó pinning de certificados para comunicaciones C2 y realizó pruebas para evitar su detección en dispositivos rooteados o emulados.

Aplicaciones afectadas:

• AirFS (com.airft.ftrnsfr): 30,305 descargas.
• Astro Explorer (com.astro.dscvr): 718 descargas.
• Amber (com.shrp.sght): 19 descargas.
• CryptoPulsing (com.cryptopulsing.browser): 790 descargas.
• Brain Matrix (com.brnmth.mtrx): no se pudo obtener el archivo APK.

Técnicas de evasión utilizadas:

• Ofuscación con OLLVM.
• Comunicación segura mediante pinning de certificados.
• Evitación de entornos de análisis y dispositivos rooteados.

Si eres investigador y te interesa saber más al respecto e investigar este malware, puedes encontrar muestras en las siguientes URLs:

• Muestra 1
• Muestra 2
• Muestra 3
• Muestra 4
• Muestra 5

Más información:

• Mandrake spyware sneaks onto Google Play again, flying under the radar for two years
• New Mandrake Malware: A Growing Threat to Android Users
• Mandrake Spyware Infects 32,000 Devices Via Google Play Apps