Android.Plankton в вирусной библиотеке:

Под именем Android.Plankton детектируются программы, которые содержат код SDK (Software Development Kit) одной из рекламных сетей, служащих для монетизации Android-приложений. В функционал этой системы входит сбор различных конфиденциальных сведений (включая IMEI и номер мобильного телефона) и отправка их на удаленный сервер, добавление закладок в браузер мобильного устройства и изменение его стартовой страницы, создание ярлыков на главном экране, загрузка и установка дополнительных программных компонентов и т.д.

Работа рекламного модуля реализована в виде сервиса, который начинает функционировать вместе с запуском оригинального приложения. После того как сервис запущен, происходит сбор конфиденциальной информации, которая затем отправляется на удаленный сервер. На основании полученных сведений с этого сервера поступают дальнейшие команды. В частности, модуль может получить URL для загрузки и установки программных пакетов вида «plankton_v[версия.пакета].jar» (например, plankton_v0.0.3.jar и plankton_v0.0.4.jar). Эти приложения, также детектируемые как различные версии Android.Plankton, служат для выполнения на инфицированном устройстве ряда команд, поучаемых от управляющего центра. Запуск этих пакетов реализован с использованием метода DexClassLoader, который позволяет выполнять динамическую загрузку программ в оперативную память мобильного устройства без демонстрации предварительного запроса пользователю.

Более поздние версии этого рекламного SDK лишились возможности загрузки сторонних программных пакетов, а также некоторых других сомнительных функций. Тем не менее, оставшийся функционал по-прежнему является нежелательным для большинства пользователей, поэтому детектирование приложений, в которых применяются обновленные версии этого SDK, производится, но не в качестве вредоносных программ, а в виде рекламных Adware-приложений Adware.Startapp.