Компания "Доктор Веб" рассказала о появлении новой вредоносной программы для операционной системы Android. Под ударом находятся владельцы мобильных устройств, использующие систему с повышенными привилегиями. Новый троянец распространяются злоумышленниками вместе с легитимными приложениями через популярные сайты-сборники программного обеспечения и использует следующий механизм работы: реализует принцип "матрешки", то есть, модифицированное приложение (детектируется Dr.Web как Android.MulDrop.origin.3) содержит другой программный пакет (apk-файл), который зашифрован. Фактически, первое приложение является дроппером - своеобразным контейнером, служащим для доставки других вредоносных программ.

Создатели троянца в качестве основы для дроппера выбрали определенный тип приложений: системные утилиты, конфигураторы и тому подобное, поскольку для работы большинства из них требуются права администратора. Поэтому, когда после запуска такое приложение запрашивает root-доступ, пользователь может ничего не заподозрить. В случае успешного получения необходимых привилегий Android.MulDrop.origin.3 расшифровывает скрытый в нем apk-файл и помещает его в системный каталог (/system/app/ под именем ComAndroidSetting.apk). Данное приложение, добавленное в вирусные базы как Android.MulDrop.origin.4, также является дроппером. Как и Android.MulDrop.origin.3, он содержит зашифрованный apk-пакет. Троянец активируется после очередного запуска системы, расшифровывает и устанавливает скрытый внутри него программный пакет, который, в свою очередь, является троянцем-загрузчиком и детектируется как Android.DownLoader.origin.2.

Android.DownLoader.origin.2 также имеет функцию автозапуска. После старта системы он соединяется с удаленным сервером и получает список приложений, которые ему необходимо загрузить и установить. В этом списке могут находиться как другие вредоносные программы, так и вполне безобидные приложения. По словам "Доктор Веб", пользователи Dr.Web для Android Антивирус + Антиспам и Dr.Web 7.0 для Android Light защищены от действия этого вредоносногоПО. Чтобы минимизировать риск заражения, компания "Доктор Веб" призывает владельцев мобильных устройств на базе Android, по возможности, ограничиться при загрузке приложений официальным каталогом Google Play.