Mandrake su prvi primjetili i dokumentovali 2020. godine istraživači iz kompanije Bitdefender, koji su tada rekli da je malver u cirkulaciji od najmanje 2016. godine.
Sada je Kaspersky otkrio novu varijantu Mandrakea koja se ušunjala na Google Play kroz pet aplikacija koje su objavljene u prodavnici 2022. Aplikacije su bile dostupne najmanje godinu dana, dok je posljednja, AirFS, koja je bila najuspješnija po broju preuzimanja i infekcijama, uklonjena krajem marta 2024. godine. Ostale aplikacije inficirane Mandrakeom su Astro Explorer, Amber, CryptoPulsing i Brain Matrix.
Većina preuzimanja ovih aplikacija dolazi iz Kanade, Njemačke, Italije, Meksika, Španije, Perua i Velike Britanije.
Nakon uspostavljanja komunikacije sa serverom za komadnu i kontrolu, aplikacija šalje profil uređaja i prima osnovnu komponentu Mandrakea (treća faza infekcije), ako se uređaj smatra odgovarajućim. Kada se ta komponenta aktivira, Mandrake može da obavlja niz zlonamjernih aktivnosti, uključujući prikupljanje podataka, snimanje i nadgledanje ekrana, izvršavanje komandi, simulaciju prevlačenja i dodirivanja korisnika, upravljanje fajlovima i instalaciju aplikacija. Kaspersky kaže da malver može da zaobiđe ograničenja Androida 13 (i novijih verzija) za instalaciju APK-ova iz nezvaničnih izvora.
Kao i drugi malveri za Android, Mandrake može da zatraži od korisnika da mu da dozvolu za rad u pozadini i sakrije ikonu dropper aplikacije na uređaju.
Iako pet aplikacija koje je Kaspersky otkrio na Google Play više nisu dostupne u Googleovoj prodavnici, malver bi mogao da se vrati preko novih aplikacija koje je teže otkriti, upozorili su istraživači.
Korisnicima Androida se preporučuje da instaliraju aplikacije samo od renomiranih izdavača, provjeravaju komentare drugih korisnika prije instaliranja, izbjegavaju odobravanje zahtjeva za rizične dozvole koje nisu povezane sa funkcijom aplikacije i da provjeravaju da li je Play Protect aktivan, piše Informacija.rs.
