Одним из наиболее распространенных средств незаконной монетизации на китайском рынке Android-приложений является внедрение стороннего функционала и рекламных модулей в популярные программные продукты, а также навязывание программ пользователям и максимальное увеличение трафика для веб-сайтов, распространяющих те или иные приложения. Очень часто для этих целей злоумышленники используют различные вредоносные программы-загрузчики, и именно группу таких троянцев удалось выявить специалистам компании "Доктор Веб".
Центральную позицию в данной группе занимает вредоносная программа Android.DownLoader.49.origin, являющаяся стандартным Android-приложением. Запускаясь после установки в качестве системного сервиса, этот троянец соединяется с удаленным сервером, откуда получает список объектов, которые ему требуется загрузить. Среди них присутствует ряд содержащих dex-файлы архивов, которые помещаются на карту памяти в каталог /cache/sysjar/ и затем при помощи метода DexClassLoader загружаются в оперативную память мобильного устройства. Один из этих исполняемых файлов представляет собой троянца-загрузчика, внесенного в вирусную базу под именем Android.DownLoader.43.origin и способного скачивать различные приложения, включая вредоносные. Другой файл содержит троянца-"дроппера", который, в зависимости от модификации, при наличии root-доступа может устанавливать другие вредоносные приложения в системный каталог.
Помимо этих архивов, Android.DownLoader.49.origin может загрузить и ряд различных программ, которые также устанавливаются без разрешения пользователя. Если же root-доступ отсутствует, владелец мобильного устройства увидит стандартный системный запрос на установку скачанной программы. В свою очередь, троянец Android.DownLoader.43.origin способен аналогичным образом связываться с удаленным сервером с целью получения списка приложений для загрузки и установки на инфицируемом мобильном устройстве. Примечательно, что в этом списке присутствуют и другие троянцы-загрузчики, обладающие схожим функционалом. Таким образом, вирусописатели создали цепочку из вредоносных программ, осуществляющих распространение как друг друга, так и приложений, установка которых по тем или иным причинам выгодна для киберпреступников. В общей сложности специалистами компании "Доктор Веб" было обнаружено около 10 подобных троянцев-загрузчиков, а сервер, принадлежащий злоумышленникам, содержит почти 600 программ, предназначенных для несанкционированной установки. Все озвученные вредоносные приложения успешно детектируются антивирусными продуктами Dr.Web для Android.