Согласно информации компании Trend Micro, четыре магазина занимаются распространением вредоносных Android-приложений, которые при внедрении в устройство получают права суперпользователя. Всего исследователями было зафиксировано 1163 программы, в составе которых присутствует вредоносный компонент ANDROIDOS_ LIBSKIN.A.
В Trend Micro утверждают, что в период с 29 января по 1 февраля 2016 года пользователи из 169 стран осуществляли загрузку приложений с ANDROIDOS_ LIBSKIN.A из магазинов 9apps, Aptoide, Mobogenie и mobile9.
ANDROIDOS_ LIBSKIN.A маскируется хакерами под легитимные стриминговые приложения и игры. Вредоносный компонент может без ведома пользователя производить загрузку и установку дополнительных программ, включая рекламное программное приложение, а также осуществлять сбор и отправку данных. При появлении на экране устройства всплывающих рекламных уведомлений вычислить их источник достаточно сложно.
После того, как вредоносная программа установлена, происходит загрузка файла libskin.so, который затем скачивает ZIP-архив или APK-файл. ZIP/APK-файл автоматически устанавливается в директорию /lib, чтобы избежать обнаружения антивирусной программой, а затем загружает архивы fp.JAR и fx.JAR с вредоносными файлами.