Компания Dr.Web обнаружила на платформе Android новый троян, который умеет самостоятельно покупать и устанавливать приложения в магазине Google Play Store. Android.Slicer представляет собой приложение якобы для оптимизации смартфона, предлагающее очистить память устройства, закрывая неиспользуемые приложения. Также программа умеет включать и выключать доступ к сети Wi-Fi и Bluetooth при помощи быстрых команд, отображаемых на домашнем экране.
Это приложение оказывается на устройстве либо после установки пользователями вручную, либо будучи установленным другими вредоносными приложениями. Попав на аппарат, программа собирает информацию о нём и отправляет на командный сервер. Передаётся идентификатор IMEI, MAC-адрес, производитель и версия операционной системы. Далее сервер даёт команду показывать рекламу, открыть определённую страницу в браузере или магазин Play Store на странице определённого приложения.
В последнем случае при работе на Android 4.3 Android.Slicer скачивает руткит Android.Rootkit.40, который производит рут устройства и даёт более полный контроль. После троян может нажимать на кнопки в магазине, такие как «Продолжить», «Установить» и «Купить». Это может привести к финансовым потерям, однако руткит не работает на устройствах с компонентом SELinux, которые есть на версиях от Android 4.4.
Чаще всего Android.Slicer ограничивается показом рекламы, если же он устанавливает приложения, их ярлыки появляются на домашнем экране.