Új variánst fedeztek fel a DroidKungFu néven ismert androidos trójai programból, amely most teljesen átlagos, legitim programok frissítésének álcázza magát. Az F-Secure közleménye szerint a cég ezt az új taktikát először júliusban észlelte. A jelenleg legelterjedtebb, hagyományos módszer az, hogy egy standard appba helyezik el a trójait, ez azonban nagyon könnyen kiszúrható amiatt, hogy az app telepítésekor óriási mennyiségű hozzáférést kér.

A kutatók szerint az ilyen frissítés alapú támadásoknak nagyobb a fertőzési rátája, mint a fentebb vázolt változatoké, mivel a felhasználók a már telepített, használt appok biztonságosságát sokkal kevésbé kérdőjelezik meg egy esetleges frissítés esetén. Emellett a DroidKungFu alapú támadásokat egyébként is nehezebb észrevenni, mivel biztonsági réseket használnak ki adminisztrátori (root) jogosultság megszerzésére.

Az új változattal fertőzött programokat jelenleg – ahogyan a múltbeli hasonló esetekben is – csak kínai, nem-hivatalos app-boltokból lehet letölteni. Ennek ellenére könnyen globálissá válhat a fenyegetés, mivel a trójai korábbi verziói tiszteletüket tették a hivatalos Android Market soraiban is.

„Amint a felhasználó telepíti a programot, az jelzi, hogy frissítés érhető el a programhoz. Ez a frissített verzió extra funkcionalitást nyújt, és csupán SMS/MMS üzenetekhez illetve a helyzethez való hozzáférést kér. Emellett azonban a 2.2-es Froyo rendszereken képes egy hiba kihasználásával adminisztrátori jogokhoz jutni.” (Ezt nevezzük „root exploitnak”.) Ugyan ez a trójai épp nem támadja a 2.3-as készülékeket, a Gingerbread kódnevű verzió sem mentes a kártékony programoktól, amelyek ezt a trükköt is átvehetik.

Emellett az a trójai írói különféle fertőzési módszereket is tesztelnek. A Lookout múlt héten egy olyan DroidKungFu variációt észlelt, amely root exploit helyett a felhasználót próbálta rávenni, hogy adjanak admin (root) hozzáférést a programnak korábban root-olt készülékeiken. Futtatása után a kód a natív rendszer processzhez köti magát, és ezzel is világelső: eleddig ugyanis nem volt olyan vírus, amely nem a hagyományos, virtuális Android környezetben futott volna, hanem natív ELF bináris, futtatható fájlként. Ezt a variánst hamis VPN programok terjesztik, amelyek közül néhányat a hivatalos Android Marketen is megtaláltak.