Вредоносную группу троянов-загрузчиков удалось выявить экспертам «Dr.Web».
Основное место в той группе злоумышленники отвели вредоносу, получившему наименование Android.DownLoader.49.origin, структурно представляющего обычное «андроидное» приложение, которое в действительности, после установки и запуска как системного сервиса, соединялось с управляющим сервером для получения оттуда списка объектов, закачать которые троян должен на инфицированный гаджет. Отдельные модификации вируса были замаскированы под приложение для смены обоев - надо признать, разработка интерфейса пользователя в данном приложении выполнена на ура.
Среди таких объектов в частности присутствуют архивы с включенными dex-файлами, которые при распаковке размещаются в папке /cache/sysjar/ и впоследствии, используя DexClassLoader, «прописываются» в оперативной памяти.
Один такой исполняемый файл является «загрузочным» трояном, известным как DownLoader.43.origin, способным скачивать разные приложения, в том числе и зловредные. Следующий файл несет в себе трояна-«дроппера», устанавливающего вредоносы непосредственно в системный каталог.
Кроме вышеописанных архивов 49.origin способен без пользовательского согласия загрузить и активизировать некоторые другие программы. В случаях, когда root-доступа у трояна не имеется, хозяин зараженного гаджета увидит запрос об установке приложения.
Всего экспертам «Доктора» удалось обнаружить порядка 10 подобных загружающих троянов, а используемый кибераферистами управляющий сервер имеет около 600 приложений, предназначаемых для нелегальной установки.