|
Обнаруженный троян работает по так называемому принципу матрешки. Скачанное видоизмененное приложение, идентифицированное как Android.MulDrop.origin.3 содержит внутри себя зашифрованный программный пакет apk-файл, выполняя, таким образом, функцию "контейнера" (дроппера) для переноски вредоносного контента.
При этом злоумышленники в качестве основы для дроппера выбирают, как правило, системные утилиты либо конфигураторы. Специалисты отмечают, что такой выбор не является случайным. Для запуска и работы большей части из приложений данного типа необходимы права администратора. Поэтому, когда пользователь получает запрос на доступ к ним, он обычно не испытывает никаких подозрений.
В случае если пользователь предоставляет вирусной программе администраторские права, принцип матрешки начинает работать в полную силу. Сначала Android.MulDrop.origin.3 производит расшифровку находящегося в нем apk-файла и помещает его в системный каталог телефона под именем ComAndroidSetting.apk. Данное приложение, именуемое Android.MulDrop.origin.4, также является дроппером и тоже имеет внутри себя apk-файл. После очередного запуска системы мобильного устройства троян расшифровывает этот пакет, являющийся непосредственно загрузчиком и получившим название Android.DownLoader.origin.2. Он, в свою очередь, также запускается автоматически, соединяется с удаленным сервером и начинает загружать необходимые программы.
Как говорят эксперты, закачиваемый при этом контент может быть как безобидным, так и губительным для телефона - в зависимости от целей злоумышленников.