Los analistas de Kaspersky han identificado una nueva campaña de spyware que distribuye el malware Mandrake a través de Google Play bajo la apariencia de aplicaciones legítimas relacionadas con criptomonedas, juegos y astronomía. Los expertos de Kaspersky han descubierto cinco aplicaciones de Mandrake en Google Play, que han estado disponibles durante dos años y que han acumulado más de 32.000 descargas. Las últimas muestras cuentan con técnicas avanzadas de ofuscación y evasión, lo que les permite permanecer sin que los fabricantes de seguridad las detecten. Identificado por primera vez en 2020, el spyware Mandrake es una sofisticada plataforma de espionaje para Android que lleva activa al menos desde 2016. En abril de 2024, los analistas de Kaspersky descubrieron una muestra sospechosa, lo que sugiere una nueva versión de Mandrake con funcionalidad mejorada. Estas nuevas muestras presentan técnicas avanzadas de ofuscación y evasión, incluido el cambio de funciones maliciosas a bibliotecas nativas utilizando OLLVM, la implementación de “certificate pinning” para la comunicación segura con servidores de comando y control (C2), así como la realización de comprobaciones exhaustivas para detectar si Mandrake está operando en un dispositivo rooteado o dentro de un entorno emulado.