Symantec lại trình bày hai phương pháp mới được tin tặc sử dụng để vượt qua những chế độ bảo vệ trong Android .

Kỹ thuật đầu tiên mà Symantec phát hiện từ dự án AndroidProcesses GitHub của Jared Rummler . Ứng dụng của anh này không có thành phần gì được cho là độc hại nhưng dùng nó để lấy danh sách những ứng dụng hiện tại đã được cài đặt .

Phương pháp của Rummler dựa vào việc đọc file “/proc” để lây danh sách những process đang chạy để tìm ra các ứng dụng đang chạy ở chế độ thường trú .

Symantec cho biết kỹ thuật này làm việc trên cả hệ điều hành Android 5.0 và 6.0 nhưng không làm việc trên Android N.

Phương pháp thứ hai cùng dự án được GeeksOnSecurity thực hiện có tên gọi Android Malware Example. Dùng API UsageStatsManager để lấy danh sách những process đang chạy . API này cung cấp chi tiết dữ liệu lịch sử bao gồm cả những ứng dụng đã được dùng trước kia .

Symantec nói rằng Android.Bankosy và Android.Cepsohord triển khai API này để truy vấn những ứng dụng đã dùng trong hai giây cuối cùng và dựa vào đó để xác định những ứng dụng đang chạy hiện tại .

Tuy nhiên rất may cho người dùng  đó là API UsageStatsManager  yêu cầu người dùng cung cấp cho mã độc quyền đặc biệt để truy cập tới những Output của nó . Symantec cho biết theme kỹ thuật này không làm việc trên một số Android OEM như Samsung .