Een zeer actieve groep Android-malware past nieuwe tactieken toe om onzichtbaar voor mobiele virusscanners te blijven. Het gaat om de Android.FakeInstaller, die volgens McAfee voor 60% van alle Android-malware verantwoordelijk is. De malware doet zich voor als valse versie van Skype, Flash Player, Opera en andere populaire apps. Door het toevoegen van server-side polymorfisme, obfuscatie en anti-reverse engineering technieken is de malware nog gevaarlijker geworden, zegt McAfee analist Fernando Ruiz.

"Er bestaat een groot aantal varianten van deze malware, die via honderden websites en valse marktplaatsen wordt verspreid. De verspreiding van deze malware groeit elke dag." Eenmaal actief verstuurt de malware meerdere sms-berichten naar dure nummers.

Analyse
Om detectie te bemoeilijken gebruiken de malwaremakers ook obfuscators zoals ProGuard en DexGuard, die debugging informatie verwijderen en alle namen met betekenisloze karakters vervangen. Daardoor is het veel lastiger om de code te reverse engineeren.

Sommige versies, zoals Android,FakeInstaller.S, bevat anti-reverse engineering technieken, om dynamische analyse te voorkomen en ervoor te zorgen dat de malware in een emulator draait.

Backdoor
Naast het versturen van sms-berichten bevatten sommige versies ook een backdoor om aanvullende commando's naar het besmette toestel te sturen. "Malwaremakers verdienden veel geld met dit soort fraude, dus zijn ze vastbesloten om hun infrastructuur, code en technieken te verbeteren om zo virusscanners voor te blijven", besluit Ruiz.