2020年首次发现的MandrakeAndroid软件活动似乎不受欢迎地卷土重来。卡巴斯基研究人员在本周的一篇博客文章中报告称，他们今年4月在GooglePlay商店中发现了一个可疑样本，似乎是该恶意软件的新版本。经过进一步挖掘，他们发现了5个包含Mandrake恶意软件的Android应用程序，这些应用程序已在商店中上架两年。

研究人员表示，新版Mandrake已升级，具有多层混淆功能，可绕过GooglePlay检查。因此，威胁行为者能够在2022年将至少五个包含该恶意软件的应用程序偷偷带入GooglePlay。

大多数受感染的应用程序安装次数不到1,000次，但假文件共享应用程序AirFS的安装次数超过30,000次。更麻烦的是，它在GooglePlay上一直可用，直到2024年3月才最终被删除。以下是研究人员表示在GooglePlay上至少有一年的Mandrake应用程序的完整列表：

据卡巴斯基称，威胁行为者使用Mandrake窃取用户凭证并下载和执行下一阶段的恶意应用程序。如上所述，最新版本的Mandrake可以更好地向GooglePlay隐藏其真实意图，这也解释了这些受感染的应用程序为何能够在Google的应用商店中隐藏这么久而不被发现。

卡巴斯基的两名研究人员解释道：“Mandrake软件正在不断进化，改进其隐藏、沙盒规避和绕过新防御机制的方法。在第一次活动的应用程序四年未被发现之后，当前的活动潜伏了两年，但仍可在GooglePlay上下载。这凸显了威胁行为者的强大技能，而且在应用程序发布到市场之前对应用程序进行更严格的控制，只会导致更复杂、更难检测的威胁潜入官方应用程序市场。”

正如谷歌发言人之前告诉我们的那样，只要您的设备上启用了GooglePlayProtect，您就会免受此类威胁。此外，这五款Android应用均已不再在GooglePlay上提供。