 |
Los expertos de Bitdefender encontraron el software espía Mandrake en la tienda oficial de aplicaciones de Android que ha eludido la atención de los expertos en seguridad de la información durante cuatro años (desde 2016). El malware instaló un control total sobre los dispositivos infectados, credenciales recopiladas, GPS de los dispositivos infectados, hizo grabaciones de pantalla, etc. Al mismo tiempo, el malware evitó cuidadosamente las infecciones en los países de la CEI (Ucrania, Bielorrusia, Kirguistán y Uzbekistán), África y Oriente Medio.
Mandrake tiene una estructura de tres etapas, que permitió a sus operadores evitar ser detectados por los mecanismos de seguridad de Google Play durante tanto tiempo. Todo comenzó con un gotero inofensivo colocado en el catálogo oficial de aplicaciones y disfrazado de una aplicación legítima, como un horóscopo o un convertidor de criptomonedas.
Cuando dicha aplicación se descargó al dispositivo de la víctima, el cuentagotas descargó el gestor de arranque desde el servidor remoto. Al mismo tiempo, el cuentagotas mismo pudo encender de forma remota el Wi-Fi, recopilar información sobre el dispositivo, ocultar su presencia sobre la víctima e instalar automáticamente nuevas aplicaciones.
A su vez, el gestor de arranque ya era responsable de descargar e instalar Mandrake Malware directamente. El malware comprometió completamente el dispositivo de destino, se otorgó privilegios de administrador (la solicitud de derechos se disfrazó como un acuerdo de licencia), después de lo cual obtuvo amplias oportunidades: enviar todos los mensajes SMS entrantes al servidor de los atacantes; enviando mensajes; haciendo llamadas; robo de información de la lista de contactos; activación y seguimiento de la ubicación del usuario a través de GPS; robo de credenciales de Facebook e información financiera; Grabación de pantalla.
El malware también realizó ataques de phishing en aplicaciones de Coinbase, Amazon, Gmail, Google Chrome, aplicaciones de varios bancos en Australia y Alemania, el servicio de conversión de moneda XE y PayPal.
Peor aún, Mandrake puede restablecer el dispositivo infectado a la configuración de fábrica para borrar los datos del usuario, así como todos los rastros de la actividad del malware. Cuando los atacantes recibieron de la víctima toda la información que necesitaban, Mandrake entró en el "modo de destrucción" y se borró del dispositivo.
"Creemos que el número de víctimas de Mandrake asciende a decenas o incluso cientos de miles, pero no sabemos el número exacto", dice el experto en Bitdefender Bogdan Botezatu.
Los investigadores de la compañía creen que durante cuatro años, todos los ataques de Spyvari fueron coordinados manualmente por sus operadores y no fueron completamente automatizados, como suele ser el caso. También señalan que Mandrake no se propagó a través del correo no deseado, y parece que los atacantes seleccionaron cuidadosamente a todas sus víctimas.
Los especialistas pudieron rastrear la cuenta de desarrollador de Mandrake en Google Play hasta cierto profesional independiente de habla rusa que se escondía detrás de una red de sitios web de compañías falsas, identificaciones robadas y direcciones de correo electrónico, así como anuncios de trabajo falsos en América del Norte.
0 Comentarios