Эксперты Palo Alto Networks выявили новую троянскую программу для Android, которая применяет фреймворк DroidPlugin для того, чтобы распределять вредоносную активность по нескольким плагинам во избежание обнаружения. Пока что PluginPhantom – это единственная вредоносная программа для Android, которая использует такую технику.
Троянская программа применяет фреймворк для виртуализации DroidPlugin, который предназначен для Android-приложений. DroidPlugin дает возможность разрабатывать программы, которые способны в режиме реального времени осуществлять загрузку плагинов из локальных или удаленных файлов. При этом для установки плагинов программе не нужно разрешение пользователя.
Обычно фреймворк применяется в легитимных целях, к примеру, для того, чтобы уменьшать размер приложений, поддерживать несколько аккаунтов в социальных сетях и получать обновления в обход Google Play. Но PluginPhantom использует DroidPlugin для того, чтобы скрывать свое присутствие на устройстве.
Фреймворк превращает троянскую программу в приложение, анализ которого не выявляет никакой другой активности, кроме загрузки плагинов. Все вредоносные действия осуществляются плагинами в виде APK-файлов, хранящихся внутри приложения. DroidPlugin дает программе возможность осуществлять их загрузку без разрешения пользователя.
