Aunque las tiendas de aplicaciones y los sistemas operativos hacen todo lo posible para evitar la presencia de amenazas informáticas en los dispositivos, eso es algo que, sencillamente, es imposible de conseguir al 100%.
Recientemente, y según ha revelado Kaspersky en su blog, ha ocurrido la reaparición del spyware Mandrake, una sofisticada plataforma de ciberespionaje orientada a usuarios de Android que está diseñada para robar información confidencial.
La última versión de Mandrake ha trasladado su funcionalidad maliciosa a bibliotecas nativas ofuscadas, lo que vamos a traducirte a palabras más sencillas. Imagina que una app es como una caja de herramientas, y cada herramienta (o función) está guardada en compartimentos que todos pueden ver.
Lo que han hecho los ciberdelincuentes ha sido coger estas herramientas y guardarlas en compartimentos secretos y difíciles de encontrar dentro de la caja, además de ponerles etiquetas engañosas.
Así, cuando alguien revise la caja (como los sistemas de seguridad de Google Play), será difícil que detecten qué herramientas están allí y qué están haciendo, que en este caso es, obviamente, realizar acciones maliciosas.
Por otro lado, Mandrake utiliza "certificate pinning" para comunicarse con sus servidores, otro término que debemos explicarte.
Cuando tu dispositivo se comunica con un servidor, como cuando visitas una página web, ambos necesitan verificar que están hablando con quien dicen ser para que la información se mantenga privada. Normalmente, esto se hace mediante certificados de seguridad que actúan como identificaciones verificadas.
El "certificate pinning" es como un filtro extra: el dispositivo no solo revisa que el servidor tiene una identificación válida, sino que también comprueba que esa identificación es exactamente la que espera recibir, como si tuviera una lista de certificados específicos que son aceptables.
Por tanto, con esta capa extra es muy difícil que alguien que busque atrapar al ciberdelincuente intercepte su información.
Por último, este spyware realiza pruebas para determinar si se está ejecutando en un dispositivo rooteado o en un entorno emulado, salvándose así las espaldas, ya que si se ejecuta en un entorno emulado puede ser síntoma de que está siendo analizado.
Este spyware, que había estado activa durante al menos cuatro años, ha vuelto a infiltrarse en Google Play a través de cinco aplicaciones. Estas estuvieron disponibles en Google Play entre 2022 y 2024, y lograron más de 32.000 descargas antes de ser eliminadas.
No obstante, es posible que, debido a una serie de circunstancias, aún pudieras tener dichas apps por haberlas descargado de portales ajenos a Google Play y que la protección de Google Play no te haya avisado. Por ello, a continuación te las enumeramos y te recomendamos eliminarlas inmediatamente.
| Nombre de la app | Nombre del paquete | Descripción |
|---|---|---|
| AirFS | com.airft.ftrnsfr | Falsa app para compartir archivos |
| Astro Explorer | com.astro.dscvr | Falsa app que prometía explorar el espacio, pero que en realidad lo que exploraba era tu dispositivo en busca de información |
| Amber | com.shrp.sght | En el caso de esta app, carga y núcleo (instalador y spyware propiamente dicho) estaban en el mismo archivo APK |
| CryptoPulsing | com.cryptopulsing.browser | Un falso navegador de criptomonedas |
| Brain Matrix | com.brnmth.mtrx | No se pudo obtener el archivo APK de esta app, pero casi seguro que contenía el spyware Mandrake |
Para que las reconozcas mejor, a continuación te mostramos los iconos de la mayoría de las apps:
Si has instalado una app infectada con Mandrake, debes saber que opera en varias etapas: dropper, cargador y núcleo.
En esta nueva campaña, el código malicioso de la primera etapa se encuentra dentro de la biblioteca ofuscada que describimos antes. Esta biblioteca desencripta la siguiente etapa, que es el cargador, y una vez que la aplicación está en funcionamiento, comienza a recopilar información sobre el dispositivo y envía estos datos al servidor.
Si el spyware considera que el dispositivo es un objetivo relevante, responde con un comando para descargar y ejecutar el componente malicioso de Mandrake.
Como siempre, te recomendamos que instales aplicaciones solo de fuentes confiables, como Google Play Store y Apple App Store, y, aún así, revisa los permisos solicitados por cada aplicación, otorgando solo los necesarios.
Desconfía de las aplicaciones que solicitan permisos innecesarios, como acceso a tus contactos, cámara, micrófono o ubicación, a menos que estos sean imprescindibles para que la app funcione. Por ejemplo, si una aplicación de linterna solicita acceso a tus contactos, esto es una señal de alerta.
No obstante, y como has podido ver, que una app provenga de la Google Play Store no es garantía de que sea segura per se. Por eso, te recomendamos que leas las valoraciones de la app y que obtengas más información sobre el desarrollador de la app.
Puedes hacer esto revisando otras aplicaciones del mismo desarrollador y leyendo las reseñas y comentarios de los usuarios. Un desarrollador confiable generalmente tendrá varias apps bien valoradas.
Por otro lado, no olvides actualizar regularmente tu sistema operativo y tus apps, ya que las actualizaciones a menudo incluyen parches de seguridad. También usa antivirus y antispyware confiables y realiza análisis periódicos.
Igualmente, realiza copias de seguridad regulares y procura tener contraseñas fuertes. Con todos estos hábitos llevados a cabo, es difícil que se te cuele un spyware como Mandrake, pero aún así, siempre estate alerta para no caer en trampas de phishing, como ocurrió recientemente con anuncios de Facebook que propagaban malware.
Este malware usa emojis para ejecutarse en entidades gubernamentales
- Ver Comentarios