Android-троян PluginPhantom использует новый способ обхода обнаружения

Исследователи компании Palo Alto Networks обнаружили новый Android-троян, использующий фреймворк DroidPlugin для распределения вредоносной активности по нескольким плагинам с целью избежать обнаружения. В настоящее время PluginPhantom является единственным вредоносным ПО для Android, применяющим подобную технику.

Троян использует фреймворк для виртуализации DroidPlugin, предназначенный для Android-приложений. DroidPlugin позволяет разработчикам создавать программы, способные в режиме реального времени загружать плагины из локальных или удаленных файлов без необходимости получать от пользователя разрешение на их установку.

Как правило, фреймворк используется в легитимных целях, например, для уменьшения размеров приложений, поддержки нескольких учетных записей в соцсетях и получения «горячих» обновлений (в обход Google Play Store). Однако PluginPhantom применяет его для сокрытия своего присутствия на устройстве.

Фреймворк трансформирует троян в приложение, которое при анализе не демонстрирует никакой другой активности помимо загрузки плагинов. Вся вредоносная активность полностью ложится на плагины, представляющие собой файлы APK, хранящиеся внутри приложения. DroidPlugin позволяет программе загружать их без разрешения пользователя. В настоящее время PluginPhantom содержит девять плагинов – три для основных операций и шесть для вредоносной активности.