Hasta hace unos horas, al leer Mandrake pensaba en la clásica distribución de Linux que, por unos años, empleé de manera habitual tanto en el PC del trabajo como en el de casa. Así pues, lo único que me evocaba era nostalgia. Ha dejado de ser así cuando he leído el informe publicado por la compañía de seguridad Bitdefender, y en el que los investigadores han elegido este nombre para uno de los patógenos para Android más sofisticados y peligrosos que he conocido hasta la fecha.
Son bastantes las diferencias de Madrake con respecto a otros patógenos, de cuya presencia en Google Play Store solemos hablar habitualmente. La primera es que, a diferencia de otros malwares que ya incluyen todas las funciones desde la primera versión o, en todo caso, a partir de una determinada actualización de la misma, las apps vinculadas a este patógeno siempre están «limpias» en la tienda de apps de Google. Sea la versión que sea, si el binario es analizado para comprobar si incluye funciones inseguras, se excede pidiendo permisos o muestra comportamientos sospechosos, pasará el test totalmente limpio.
¿Y cómo funciona entonces? Sencillo, espera a estar instalada en el dispositivo para, tras hacer algunas comprobaciones que mencionaré posteriormente, descargar desde Internet todo su arsenal. Estas descargas, claro, ya no se efectúan desde Google Play, sino desde los servidores del grupo que opera Mandrake, eludiendo de esta manera todos los controles de seguridad de Google, y sin que la tecnológica tenga conocimiento alguno de cómo están operando las apps maliciosas una vez que están en los dispositivos de las víctimas.
Otro aspecto interesante es que los responsables de Mandrake diversifican la subida de las apps a la tienda, empleando para tal fin varios perfiles de desarrolladores no conectados entre sí. De esta manera, incluso si la maliciosidad de una app es detectada, el hilo de la misma no llevará al resto de las que el grupo de ciberdelincuentes ha subido a la tienda. Además, en algunos casos también han creado perfiles en redes sociales, para dar más credibilidad al scam.
Pero ahora vayamos a lo más sorprendente . Y es que si hasta ahora el objetivo del malware subido a Google Play era llegar a todos los dispositivos posibles, Mandrake rompe con esa filosofía. No actúa con un criterio cuantitativo, sino cualitativo y, es más, cuenta con múltiples funciones para evitar infectar a aquellas potenciales víctimas que se escapan del perfil de usuario buscado por sus creadores. Estos saben que, a mayor difusión, más probabilidades de ser detectados, así que se centran exclusivamente en determinados objetivos, dejando pasar al resto.
Así, por ejemplo, el patógeno no se activa en determinados países en los que, socio-económicamente hablando, consideran que no van a obtener beneficios. No obstante, y a este respecto, los expertos consideran que algunos bloqueos geográficos también pueden estar relacionados con el propio origen del grupo. Esto no es nada nuevo, muchas organizaciones de ciberdelincuentes lo hacen con el fin de eludir la atención de las autoridades policiales y judiciales dentro de sus propios países.
Una vez descargada la app en el dispositivo, Mandrake manipula de una manera sofisticada y efectiva el contenido que se muestra en pantalla, con el fin de que, cuando el usuario cree que está aceptando los términos legales de empleo de la misma, en realidad lo que está haciendo es conceder a la misma todo tipo de permisos en esa instalación de Android. De este modo, sin que el usuario lo sepa, el patógeno ya puede tomar el control completo del dispositivo y los datos que contiene.
Según los técnicos de Bitdefender, Mandrake está activo desde al menos 2016 e inicialmente se dirigió a usuarios australianos, antes de pasar a otras regiones como Europa y América del Norte. Aunque no hay métricas al respecto, los expertos consideran muy probable que, en estos cuatro años, el número de usuarios afectados haya sido de unos cuantos cientos de miles. Las apps detectadas ya han sido eliminadas de Google Play, pero hay bastantes posibilidades de que otras nuevas aparezcan a corto y medio plazo.
La entrada Mandrake, una sofisticada y peligrosa amenaza para Android es original de MuySeguridad. Seguridad informática.