Одним из самых популярных методов незаконной монетизации на «поднебесном» рынке приложений для Android считается установка посторонних функций и рекламных модулей в известные приложения, а также навязывание программного обеспечения пользователям и как можно большее увеличение трафика для веб-ресурсов, которые реализуют определенные ПО. Зачастую для реализации подобных целей злоумышленники применяют разнообразные вредоносные загрузчики, и с такой-то группой Android-троянцев удалось обнаружить специалистам «Доктор Веба».
Главную позицию в этой группе троянцев занимает такая программа, как Android.DownLoader.49.origin, которая, по сути, является стандартным приложением операционной системы интернет-гиганта. Дело в том, что во время запуска после установки в роли системного сервиса, данный троянец соединяется с удаленным сервером, где и берет список объектов, с которыми ему предстоит работать. Среди этих объектов, которые загружаются троянцем, имеются и те, которые содержат в себе dex-файлы архивов, они, в свою очередь, перемещаются на карту памяти смартфона в каталог (cache), затем, используя метод DexClassLoader происходит загрузка этих файлов в оперативную память гаджета. Один из таких файлов и представляет собой троянца-загрузчика, который был внесен в вирусную базу под названием Android.DownLoader.43.origin. Он способен самостоятельно скачивать разнообразные приложения, в том числе и «вредные». Еще один файл содержит в себе троянскую программу «дроппер», которая, в зависимости от своей разновидности, при имеющемся root-доступе способна самостоятельно устанавливать прочие вредоносные ПО в системный каталог устройства.
Кроме этих архивов, Android.DownLoader.43.origin способен загружать и некоторые программы, установка которых происходит тоже без разрешения владельца устройства. В том случае, если root-доступа нет, то пользователю «высветится» обычный вопрос системы на установку скачанного программного обеспечения.