Троянец в официальной прошивке Android

По сообщению компании «Доктор Веб», ее вирусные аналитики зафиксировали инцидент с Android-троянцем, который предустанавливается на мобильные устройства в качестве системных приложений. Вредоносное приложение, получившее название Android.Backdoor.114.origin, уже было известно специалистам: первые случаи его применения киберпреступниками зафиксированы больше года назад, и с тех пор данный троянец уже не раз становился настоящей головной болью для пользователей. Этот бэкдор внедряется злоумышленниками непосредственно в прошивку мобильных устройств и соответственно функционирует в качестве системного приложения. В результате удалить троянца стандартными способами практически невозможно: пользователю требуются либо root-привилегии, которые не всегда можно получить, либо установка заведомо «чистого» образа ОС с потерей всех имеющихся данных, для которых не была создана резервная копия.

Очередной случай заражения мобильных устройств пользователей троянцем Android.Backdoor.114.origin был выявлен в середине сентября. В частности, новыми жертвами бэкдора стали владельцы Android-планшета Oysters T104 HVi 3G, на котором вредоносная программа скрывается в предустановленном приложении c именем GoogleQuickSearchBox.apk. Производитель модели был уведомлен о наличии проблемы, однако пока доступная для загрузки официальная версия прошивки устройства не претерпела никаких изменений.

Android.Backdoor.114.origin собирает и отправляет на управляющий сервер широкий спектр информации о зараженном устройстве. В зависимости от своей модификации, он может передавать злоумышленникам следующие сведения: уникальный идентификатор устройства, тип зараженного устройства (смартфон или планшет), название устройства и его производителя, IMSI-идентификатор, MAC-адрес устройства и Bluetooth-передатчика, идентификатор страны, параметры из конфигурационного файла троянца, версию вредоносного приложения, версию ОС и API ОС, тип сетевого подключения, разрешение экрана, доступный объем памяти на SD-карте и внутренней памяти устройства, список установленных приложений в системном каталоге и приложений, установленных пользователем.

Однако основное назначение Android.Backdoor.114.origin – незаметная загрузка, установка и удаление приложений по команде управляющего сервера. Троянец способен самостоятельно активировать отключенную опцию установки ПО из непроверенных источников, если данная функция изначально была неактивна. В результате, даже если владелец зараженного устройства соблюдает рекомендованные меры безопасности, бэкдор все равно изменит соответствующие настройки и сможет незаметно инсталлировать рекламные, нежелательные и опасные программы.

Специалисты компании «Доктор Веб» советуют владельцам смартфонов и планшетов под управлением ОС Android периодически выполнять антивирусное сканирование своих мобильных устройств, чтобы выявить возможное заражение известными вредоносными приложениями. В случае обнаружения троянца или иного опасного ПО в прошивке устройства необходимо обратиться за помощью к производителю с запросом обновления образа ОС.