Про це повідомляє компанія ThreatFabric, що спеціалізується на питаннях мобільної безпеки. Як зазначає її представник в цьому пості в блозі компанії, шахраї навчилися обходити автоматичну перевірку — насамперед завдяки тому, що нове шпигунське ПЗ залишає дуже малий “шкідливий слід” і не блокується стандартним обмеженням дозволів магазину Google Play.
Типова поведінка такого шпигунського ПЗ — спочатку встановлюється доброякісний додаток, в якого з дозволами “все гаразд”, але в майбутньому він пропонує користувачеві додатково завантажити “оновлення” продукту, яке додасть нові функції. Ці завантаження будуть виконуватись вже з інших джерел, але на той час користувач вже звикає довіряти додатку, тож погоджується на такий крок. Більше того, часто такі завантаження виконуються “постачальником” шкідливого софта вручну, після перевірки географічного розташування інфікованого смартфона або за допомогою покрокового оновлення ПЗ. Такий “ювелірний” підхід дозволяє оминати автоматичну перевірку, не викликаючи в неї підозри — причому не тільки самого магазину, але й такого відомого ресурсу, як VirusTotal.
Найбільше сімейство такого типу троянів — Anatsa (загалом більше ніж 200 тис. завантажень). Це банківський троян, що містить не тільки класичний кейлогер, але й можливість віддаленого доступу і навіть систему автоматичного трансферу коштів. Інші трояни зі схожими принципами роботи, але не настільки поширені - Alien (50+ тис. завантажень) та Hydra/Ermac (15+ тис. завантажень). Найтиповіші варіанти додатків, за допомогою яких поширювалися ці трояни — сканери PDF-документів, QR-кодів тощо:
| Додаток | Назва пакету | SHA-256 |
| Two Factor Authenticator | com.flowdivison | a3bd136f14cc38d6647020b2632bc35f21fc643c0d3741caaf92f48df0fc6997 |
| Protection Guard | com.protectionguard.app | d3dc4e22611ed20d700b6dd292ffddbc595c42453f18879f2ae4693a4d4d925a |
| QR CreatorScanner | com.ready.qrscanner.mix | ed537f8686824595cb3ae45f0e659437b3ae96c0a04203482d80a3e51dd915ab |
| Master Scanner Live | com.multifuction.combine.qr | 7aa60296b771bdf6f2b52ad62ffd2176dc66cb38b4e6d2b658496a6754650ad4 |
| QR Scanner 2021 | com.qr.code.generate | 2db34aa26b1ca5b3619a0cf26d166ae9e85a98babf1bc41f784389ccc6f54afb |
| QR Scanner | com.qr.barqr.scangen | d4e9a95719e4b4748dba1338fdc5e4c7622b029bbcd9aac8a1caec30b5508db4 |
| PDF Document Scanner - Scan to PDF | com.xaviermuches.docscannerpro2 | 2080061fe7f219fa0ed6e4c765a12a5bc2075d18482fa8cf27f7a090deca54c5 |
| PDF Document Scanner | com.docscanverifier.mobile | 974eb933d687a9dd3539b97821a6a777a8e5b4d65e1f32092d5ae30991d4b544 |
| PDF Document Scanner Free | com.doscanner.mobile | 16c3123574523a3f1fb24bbe6748e957afff21bef0e05cdb3b3e601a753b8f9d |
| CryptoTracker | cryptolistapp.app.com.cryptotracker | 1aafe8407e52dc4a27ea800577d0eae3d389cb61af54e0d69b89639115d5273c |
| Gym and Fitness Trainer | com.gym.trainer.jeux | 30ee6f4ea71958c2b8d3c98a73408979f8179159acccc01b6fd53ccb20579b6b |
| Gym and Fitness Trainer | com.gym.trainer.jeux | b3c408eafe73cad0bb989135169a8314aae656357501683678eff9be9bcc618f |