Código malicioso supercomplejo para Android que solo tarda 4 años en detectarse

Los investigadores de seguridad de Bitdefender Labs encontraron recientemente rastros relativamente detallados de una cepa maliciosa que infecta los dispositivos Android diseñados para robar los datos de las víctimas. El problema es que este malware se ha estado ejecutando desde 2016, pero no se ha detectado hasta ahora.

En particular, este malware, llamado Mandrake, tiene un modo de operación ligeramente diferente al de las amenazas más comunes en la actualidad, ya que no intenta infectar el dispositivo a ningún costo. En cambio, Mandrake elegirá cuidadosamente a la víctima. Se centrará solo en los más, esta forma de trabajar no solo ayuda a los códigos maliciosos a optimizar sus ganancias, sino que también les hace limitar la atención del mundo de la seguridad.

Además, el malware también está programado para evitar a los usuarios de Android en ciertas regiones/países, incluidos países de la antigua Unión Soviética, África y Medio Oriente. Por el contrario, Australia, Estados Unidos, Canadá y algunos países europeos son las regiones "más" objetivo.

Según las estimaciones de Bitdefender Labs, desde 2016, Mandrake ha infectado a cientos de miles de víctimas en todo el mundo y decenas de miles de dispositivos están infectados actualmente. Este número no es grande en comparación con el código malicioso conocido jamás registrado. Sin embargo, cabe mencionar que la mayoría de las víctimas de Mandrake son objetivos de alto valor, por lo que el daño que puede causar este código malicioso sigue siendo enorme.

Una de las razones por las que Play Store no ha descubierto Mandrake durante muchos años es que el malware no está incluido en las aplicaciones. En cambio, se propaga después de que la víctima haya instalado la aplicación en el dispositivo. Las aplicaciones solo usan su propio proceso de recuperación de malware cuando están "dirigidas" para eludir el proceso de verificación de Google. Una vez que la carga útil maliciosa se distribuye al dispositivo de destino, el software malicioso comienza a recopilar la mayoría de los datos que solicita del usuario, incluidas las credenciales de inicio de sesión para sitios web y aplicaciones. Cuando se instala en el dispositivo, la aplicación parece una aplicación normal, pero en la parte posterior proporciona los derechos y los datos al operador malicioso.

Modo de código malicioso

Bogdan Botezatu, director de investigación e informes de amenazas en Bitdefender, llamó a Mandrake "uno de los malware más poderosos en el mundo de Android" con el objetivo final de controlar por completo el dispositivo y capturar el dispositivo, obteniendo valiosos datos personales de la víctima.

Mandrake se ha distribuido a través de una lista de aplicaciones de Android en Play Store durante años.Estas aplicaciones se actualizan constantemente, se actualizan e incluso provienen de diferentes desarrolladores.

Incluso las aplicaciones utilizadas para distribuir malware están relativamente bien mantenidas, por lo que los usuarios creen erróneamente que se trata de una aplicación confiable: los desarrolladores responden a los comentarios de los usuarios en la Tienda, incluso hay sitios de redes sociales.

En particular, una vez que ha recopilado todos los datos que desea, el malware puede eliminarse por completo del dispositivo, sin que la víctima se dé cuenta de lo que sucedió.

Una lista de algunas aplicaciones que contienen código malicioso

Con un modo de operación tan complejo, es difícil prevenir Mandrake.La mejor manera de evitar este tipo de malware es instalar aplicaciones de desarrolladores confiables y de confianza.

Si necesita más información, puede leer el informe completo de Mandrake sobre Bitdefender aquí:

https://www.bitdefender.com/files/News/CaseStudies/study/329/Bitdefender-PR-Whitepaper-Mandrake-creat4464-en-EN-interactive.pdf