Om malware van Android-toestellen te verwijderen wordt weleens aangeraden om de fabrieksinstellingen terug te zetten, maar onderzoekers hebben nu Android-malware ontdekt die voorkomt dat de gebruiker een fabrieksreset uitvoert. Ook voorkomt de Black Rose-malware het gebruik van verschillende beveiligingsapps, zo laat securitybedrijf Check Point in een analyse weten.

De malware wordt buiten Google Play om verspreid en doet zich bijvoorbeeld voor als een Android-upgrade. Kort na de installatie laat de malware een waarschuwing zien dat het apparaat gevaar loopt. De gebruiker wordt vervolgens gevraagd om de toegankelijkheidsservice in te schakelen voor een applicatie genaamd "Security of the system". Wanneer de gebruiker dit doet wordt hij ook gevraagd om de malware beheerdersrechten te geven, alsmede rechten om vensters boven andere applicaties te tonen en de batterij-optimalisatie van Android te negeren.

De toegankelijkheidsservice van Android maakt het mogelijk om een on-screen click van de gebruiker te imiteren. Zodra de service is ingeschakeld kan de malware zichzelf beheerdersrechten geven mocht dit nog niet door de gebruiker zijn gedaan. Ook kan het de batterij-optimalisatie van Android negeren, zodat het niet door dit proces wordt uitgeschakeld en continu actief kan blijven. Verder kan de malware ook aanvullende APK-bestanden installeren door alle vereist clicks van de gebruiker te simuleren.

De malware beschikt verder over verschillende methodes om verwijdering te voorkomen. Zo monitort de malware of bepaalde populaire beveiligingsapps zijn gestart. Wanneer dit het geval is simuleert de malware een click op de home- of terugknop, zodat de tool wordt gesloten. Ook blokkeert de malware de mogelijkheid van de gebruiker om een fabrieksreset uit te voeren. Wanneer het gebruiker deze optie in het instellingenmenu wil selecteren wordt wederom de home- of terugknop gesimuleerd. De malware zou op het moment vooral in Rusland actief zijn.