Uma nova versão do sofisticado spyware para Android, chamado Mandrake, foi descoberta em cinco aplicativos disponíveis para download na Google Play Store, onde permaneceram sem serem detectados por dois anos. Os aplicativos acumularam mais de 32.000 instalações antes de serem removidos da loja de aplicativos, conforme relatado pela Kaspersky em um comunicado na segunda-feira. A maioria dos downloads originou-se no Canadá, Alemanha, Itália, México, Espanha, Peru e Reino Unido. As novas amostras incluíam camadas adicionais de ofuscação e técnicas de evasão, como a transferência de funcionalidades maliciosas para bibliotecas nativas ofuscadas e o uso de fixação de certificados para comunicações com servidores de comando e controle (C2).
O Mandrake foi documentado pela primeira vez pelo fornecedor romeno de cibersegurança Bitdefender em maio de 2020. O spyware se destacou por sua abordagem deliberada para infectar um número reduzido de dispositivos e por operar nas sombras desde 2016. As variantes atualizadas do Mandrake são caracterizadas pelo uso do OLLVM para esconder a funcionalidade principal e pela incorporação de técnicas avançadas de evasão de sandbox e anti-análise. Essas técnicas impedem que o código seja executado em ambientes operados por analistas de malware.
O payload de segunda fase do Mandrake é capaz de coletar informações detalhadas sobre o status de conectividade do dispositivo, aplicativos instalados, porcentagem de bateria, endereço IP externo e versão atual do Google Play. Além disso, o spyware pode apagar o módulo central e solicitar permissões para desenhar sobreposições na tela e executar em segundo plano, aumentando ainda mais sua capacidade de permanecer oculto e operar de forma eficaz.