Sebagian besar aplikasi ini tetap tersedia di Google Play setidaknya selama satu tahun sebelum dihapus. Aplikasi AirFS malah baru dihapus pada Maret 2024. Hingga saat ini, tidak ada aplikasi yang ditandai sebagai berbahaya oleh penyedia anti-virus mana pun.
Aplikasi Mandrake menggunakan lapisan teknik pengaburan baru untuk menyembunyikannya, seperti melakukan aktivitas berbahaya di pustaka yang dikaburkan dan menggunakan penyematan sertifikat untuk mencegah penyadapan jaringan.
Seperti versi sebelumnya, platform Mandrake baru bekerja dalam tiga tahap. Platform ini hanya mencoba menginfeksi korban saat target dianggap relevan. Hal ini ditentukan berdasarkan kekuatan data.
Setelah suatu perangkat ditetapkan sebagai target, malware merekam layar dan mengumpulkan cookie untuk mencuri kredensial serta "mengunduh dan menjalankan aplikasi berbahaya tahap berikutnya".
Agar pengguna memasang aplikasi baru, Mandrake mengirimkan pemberitahuan yang tampaknya berasal dari Google Play. Dengan Android 13, fitur Pengaturan Terbatas diperkenalkan untuk mencegah aplikasi yang diunduh dari luar meminta izin berbahaya secara langsung, tetapi Mandrake mampu melewatinya.
Di sisi lain, Google sendiri mengatakan akan terus meningkatkan Play Protect, termasuk kemampuan deteksi ancaman langsung.
"Google Play Protect terus ditingkatkan dengan setiap aplikasi yang teridentifikasi. Kami selalu meningkatkan kemampuannya, termasuk deteksi ancaman langsung yang akan datang untuk membantu memerangi teknik pengaburan dan anti-penghindaran. Pengguna Android secara otomatis dilindungi terhadap versi malware yang diketahui ini oleh Google Play Protect, yang aktif secara default pada perangkat Android dengan Google Play Service," kata Google.