Рекламный троянец в прошивке Android и приложениях
По сообщению компании «Доктор Веб», один из троянцев, предназначенных для показа рекламы и установки ПО на мобильные устройства, был найден в прошивках около 40 Android-устройств. Кроме того, он был обнаружен и в нескольких приложениях известных компаний.
Троянец, получивший имя Android.Gmobi.1, был исследован специалистами «Доктор Веб» в марте. Он представляет собой специализированный программный пакет (SDK-платформу), который расширяет функциональные возможности Android-приложений и используется как производителями мобильных устройств, так и разработчиками ПО. В частности, этот модуль предназначен для дистанционного обновления ОС, сбора аналитических данных, показа уведомлений (в том числе рекламы) и проведения мобильных платежей. Несмотря на кажущуюся безобидность, Android.Gmobi.1 во многом ведет себя как типичный троянец, поэтому содержащие его программы детектируются антивирусными продуктами Dr.Web для Android как вредоносные. На текущий момент специалисты компании обнаружили этот SDK в предустановленном системном ПО почти 40 популярных мобильных устройств, а также в приложениях TrendMicro Dr.Safety, TrendMicro Dr.Booster и Asus WebStorage, которые доступны для загрузки в каталоге Google Play. Все пострадавшие компании оповещены о возникшей проблеме и занимаются ее решением. Так, последние официальные версии программ TrendMicro Dr.Safety и TrendMicro Dr.Booster уже не содержат этого троянца.
Android.Gmobi.1 имеет несколько модификаций с одним и тем же функционалом для сбора и отправки на удаленный узел конфиденциальной информации. Например, версии, встроенные в приложения TrendMicro Dr.Safety и TrendMicro Dr.Booster, имеют только эту шпионскую функцию, в то время как модификация, обнаруживаемая в прошивках мобильных устройств, является наиболее «продвинутой». При каждом подключении к Интернету или включении экрана зараженного смартфона или планшета (если перед этим экран был выключен более минуты) Android.Gmobi.1 собирает и отправляет на управляющий сервер целый ряд конфиденциальных данных, включая адреса электронной почты пользователя, наличие роуминга, текущие географические координаты, подробную техническую информацию об устройстве, наличие установленного приложения Google Play.
В ответ троянец получает от сервера конфигурационный файл в формате JSON (JavaScript Object Notation), который может содержать управляющие команды для выполнения следующих действий:
- сохранить в базу данных информацию о рекламе, которую необходимо показать пользователю;
- показать уведомление с рекламой;
- показать уведомление, нажатие на которое приведет к запуску уже установленного на устройстве приложения;
- загрузить и установить apk-файлы с использованием стандартного системного диалога или скрытно от пользователя, если для этого имеются соответствующие права.
Далее в соответствии с полученными командами вредоносная программа приступает к выполнению своей основной функции – показу рекламы, а также других действий, нацеленных на получение прибыли. Кроме того, Android.Gmobi.1 способен автоматически запускать программы, уже установленные на устройстве, а также скачивать приложения по указанным ссылкам, тем самым «накручивая» их популярность.
В настоящий момент все известные модификации этого троянца успешно детектируются и обезвреживаются антивирусными продуктами Dr.Web для Android только в тех случаях, если они находятся не в системных каталогах ОС. Если Android.Gmobi.1 был обнаружен в прошивке зараженного мобильного устройства, его удаление обычными средствами не представляется возможным, поскольку для этого антивирусу необходимо наличие root-полномочий. Однако даже если необходимые права в системе имеются, удаление троянца может привести к нарушению работы зараженного смартфона или планшета, поскольку Android.Gmobi.1 может быть встроен в критически важное системное приложение. В этом случае необходимо обратиться к производителю мобильного устройства и запросить у него новую версию прошивки, в которой троянец будет отсутствовать.