Специалисты компании «Доктор Веб» исследовали Android-троянцев, выполняющих несанкционированную установку приложений. В общей сложности было обнаружено около 10 подобных программ-загрузчиков, а сервер, принадлежащий злоумышленникам, содержит почти 600 программ, предназначенных для несанкционированной установки.
Центральную позицию в данной группе занимает вредоносная программа Android.DownLoader.49.origin, являющаяся стандартным Android-приложением. Она запускается после установки в качестве системного сервиса, соединяется с удаленным сервером, откуда получает список объектов, которые начинает загружать. Среди них присутствует ряд содержащих dex-файлы архивов, которые помещаются на карту памяти и затем при помощи метода DexClassLoader загружаются в оперативную память мобильного устройства.
Один из этих исполняемых файлов представляет собой троянца-загрузчика, внесенного в вирусную базу под именем Android.DownLoader.43.origin и способного скачивать различные приложения, включая вредоносные. Другой файл содержит троянца-«дроппера», который, в зависимости от модификации, при наличии root-доступа может устанавливать другие вредоносные приложения в системный каталог.
Примечательно, что в списках файлов для загрузки у троянцев присутствуют и другие троянцы-загрузчики, обладающие схожим функционалом. Таким образом, вирусописатели создали цепочку из вредоносных программ, осуществляющих распространение как друг друга, так и приложений, установка которых по тем или иным причинам выгодна для киберпреступников.