С выходом Android 5.0 Lollipop и Android 6.0 Marshmallow компания Google отказалась от getRunningTasks() API, позволяющего определять открытые приложения.

Однако на долго злоумышленников это не остановило. Хакеры выпустили новые версии банковских троянов Bankosy и Cepsohord, которые используют два способа обхода механизмов защиты последних версий Android.

Первый способ позволяет определить запущенную задачу, используя представленный в Android 5.0 интерфейс программирования приложений UsageStatsManager. С помощью этого API вредоносное ПО получает статистические данные об открытых приложениях за последние две секунды и вычисляет самую последнюю активность.

Второй способ заключается в использовании опубликованного на GitHub популярного проекта с исходным кодом для определения открытого на устройстве приложения. Сам по себе он не является вредоносным, однако злоумышленники используют его в преступных целях. Проект позволяет читать данные файловой системы "/proc/" для вычисления запущенных процессов и определения открытого приложения. Как сообщают эксперты Symantec, данный способ не будет работать с выходом следующей версии ОС от Google, известной как Android N.