Одним из самых популярных средств незаконной монетизации на просторах китайского рынка Android-приложений выступает внедрение функционала и рекламных модулей со стороны в известные программные продукты и навязывание разного рода программ пользователям, а также максимально возможное увеличение трафика для веб-ресурсов, распространяющих приложения.
Чрезвычайно часто для данных целей злоумышленники применяют разные вредоносные программы-загрузчики, и группу подобного рода троянцев выявили специалисты «Доктор Веб». Центральная позиция в этой группе занята вредоносной программой Android.DownLoader.49.origin, которая является стандартным Андроид-приложением. Данный троянец, запускаясь после процесса установки как системный сервис, производит соединение с удаленным сервером, получает оттуда список объектов, необходимых для загрузки. Среди них присутствуют архивы, которые содержат dex-файлы, они помещаются в каталог /cache/sysjar/ на карту памяти, а после с помощью метода DexClassLoader загружаются во внутреннее пространство оперативной памяти мобильного. Один из данных исполняемых файлов — троянец-загрузчик, внесенный в вирусную базу под названием Android.DownLoader.43.origin, он может скачивать разные приложения, в том числе и вредоносные.
Иной файл имеется в составе троянца-«дроппера», он, в зависимости от модификации, при помощи наличия root-доступа устанавливает другие вредные приложения в пространство системного каталога. Помимо данных архивов, Android.DownLoader.49.origin имеет способность загружать и некоторые другие программы, которые устанавливаются без разрешения. При отсутствии root-доступа, человек, владеющий мобильным, увидит системный запрос на осуществление установки скачанной программы.