Основным принципом обеспечения безопасности в ОС Android являются особенности установки прикладного ПО на мобильные устройства. В частности, инсталляция происходит только после того, как пользователь ознакомится с информацией о той или иной программе и даст окончательное согласие на ее установку. Для обхода данного ограничения некоторые вирусописатели стали снабжать своих троянцев различными root-эксплойтами, дающими неограниченные полномочия на атакуемых смартфонах и планшетах. В результате уже в 2011 году появились вредоносные Android-приложения, которые при помощи различных программных уязвимостей пытались получить системные привилегии, после чего могли устанавливать и удалять ПО без участия пользователя. К таким троянцам относятся Android.DreamExploid и Android.Gongfu.

Атаки с применением подобных вредоносных приложений на протяжении длительного времени были достаточно редкими, но в 2015 году вирусные аналитики компании "Доктор Веб" отметили новый всплеск интереса к root-троянцам. При этом если раньше злоумышленники стремились с их помощью лишь незаметно установить как можно больше приложений, чтобы получить от партнерских программ прибыль за каждую успешную инсталляцию, то теперь все чаще они пытаются внедрить вредоносное или нежелательное ПО непосредственно в системный каталог Android. Так, киберпреступники хотят заразить мобильные устройства руткитами, которые остаются скрытыми в системе и продолжают свою работу, даже если установившую их вредоносную программу позднее найдут и удалят.

Попадая в системную область системы, подобные троянцы получают расширенные функциональные полномочия и предоставляют злоумышленникам полный контроль над зараженными устройствами, а также неограниченный доступ к хранящейся на них информации. При этом обнаружение таких приложений значительно усложняется и может потребовать гораздо больше времени по сравнению с идентификацией "обычного" вредоносного ПО для Android.

Но даже после успешного обнаружения Android-руткитов в системном каталоге попытка их удаления сопряжена с определенным риском. В некоторых случаях подобные вредоносные приложения значительно модифицируют программное окружение ОС, в результате чего их деинсталляция способна привести к неработоспособности зараженного смартфона или планшета. Однако даже в таких случаях зараженное мобильное устройство относительно легко вернуть к жизни: для этого достаточно переустановить заводскую прошивку. Тем не менее, некоторые антивирусные компании заявляют, что удаление троянцев, попавших в системную область Android в результате получения root-полномочий, практически невозможно, и пользователям стоит задуматься о замене мобильного устройства.

Однако успешная борьба с Android-руткитами вполне осуществима. Так, специалисты "Доктор Веб" тщательно анализируют каждое подобное вредоносное приложение. После того как они убедятся, что удаление того или иного троянца не приведет к поломке Android-устройства, соответствующий алгоритм лечения вносится в вирусную базу Dr.Web Security Space для Android. Несмотря на то, что это весьма трудоемкий и длительный процесс, с каждым днем число успешно удаляемых из системной области ОС Android троянцев увеличивается.

Среди обнаруженных в 2015 году вредоносных приложений, пытающихся получить root-полномочия на Android-устройствах и незаметно установить вредоносное ПО в системную директорию, прежде всего стоит отметить троянцев семейства Android.Toorch, о которых стало известно в апреле. Один из них был замаскирован под программу-фонарик и распространялся вирусописателями через популярные в Китае сайты - сборники ПО, а также при помощи агрессивных рекламных модулей, интегрированных в различные приложения. После запуска на целевых мобильных устройствах он пытался повысить свои системные привилегии до уровня root, незаметно устанавливал в системный каталог /system/app один их своих компонентов, а также запускал на исполнение еще один вредоносный модуль. После этого по команде злоумышленников вредоносное приложение могло загружать, устанавливать и удалять указанные ими программы без ведома пользователя.

Другая вредоносная программа, пытавшаяся получить root-доступ на заражаемых устройствах, была внесена в вирусную базу Dr.Web как Android.Backdoor.176.origin. Этот троянец распространялся вирусописателями в модифицированных ими изначально безобидных играх и приложениях. При первом запуске Android.Backdoor.176.origin передает на управляющий сервер подробную информацию о зараженном устройстве, после чего регистрирует несколько перехватчиков системных событий, контролируя, в частности, загрузку ОС, взаимодействие пользователя с экраном, запуск приложений. При следующем включении инфицированного смартфона или планшета вредоносная программа загружает из интернета модифицированную версию утилиты Root Master и с ее помощью пытается получить root-доступ в системе. Основное предназначение данной вредоносной программы - незаметная установка и удаление приложений по команде с управляющего сервера. Помимо этого троянец передает злоумышленникам подробные сведения о зараженном смартфоне или планшете, отслеживает количество входящих и исходящих вызовов, а также отправленных и принятых SMS-сообщений.

Не меньшую опасность для владельцев Android-смартфонов и планшетов представляет и троянец Android.DownLoader.244.origin. Как и многие вредоносные Android-приложения, он распространялся через популярные сайты - сборники ПО в модифицированных киберпреступниками изначально безопасных программах и играх. После запуска содержащей троянца программы Android.DownLoader.244.origin запрашивает у пользователя доступ к специальным возможностям ОС (Accessibility Service). Если потенциальная жертва согласится предоставить ей необходимые права, вредоносная программа сможет контролировать все события, происходящие на устройстве, а также получит возможность незаметно устанавливать приложения, имитируя действия пользователя и самостоятельно нажимая на кнопки в соответствующих диалоговых окнах, которые будут возникать при попытке инсталляции заданного злоумышленниками ПО.