Неудаляемый троянец-дозвонщик для Android

--> Дата: Ноя 5, 2014 35

По сообщению компании «Доктор Веб». Ее специалисты обнаружили троянца-дозвонщика, который заражает мобильные устройства под управлением ОС Android и имеет серьезный механизм самозащиты. Троянец добавлен в вирусную базу компании под именем Android.Dialer.7.origin.

Новый троянец представляет собой классическую вредоносную программу-дозвонщик, совершающую звонки на премиум-номера (обычно принадлежащие развлекательному сервису), за что с абонентского счета жертвы списывается существенная сумма. Троянец распространяется злоумышленниками под видом эротического приложения и после установки помещает на главный экран мобильного устройства свой ярлык, который не имеет подписи и значка, в результате чего у пользователей может сложиться впечатление о том, что установка программы не удалась. В ряде случаев после запуска Android.Dialer.7.origin может продемонстрировать сообщение об ошибке доступа к запрошенной услуге, после чего окончательно скрывает следы своего пребывания в зараженной системе, удаляя созданный ранее ярлык и функционируя в дальнейшем в качестве системного сервиса. Помимо ручного запуска через ярлык, троянец активирует данный сервис автоматически, например, после очередного включения зараженного устройства, поэтому фактически для начала вредоносной деятельности не требуется никакого вмешательства пользователя.

Запускаемый Android.Dialer.7.origin сервис с определенной периодичностью выполняет звонки на номер 803402470, информация о котором хранится в настройках троянца. При необходимости киберпреступники могут изменить целевой номер дозвона, отдав приложению соответствующую команду с управляющего сервера: это увеличивает функциональную гибкость Android.Dialer.7.origin и позволяет его авторам заработать сразу на нескольких платных сервисах.

Чтобы уменьшить вероятность обнаружения нежелательной активности, троянец отключает разговорный динамик мобильного устройства на время «телефонного разговора», а для окончательного сокрытия вредоносной деятельности удаляет из системного журнала, а также из списка совершенных звонков всю компрометирующую его информацию.

Однако главная особенность этого дозвонщика – его способность противостоять попыткам удалить угрозу с зараженного мобильного устройства: как только пользователь откроет раздел системных настроек, отвечающий за управление приложениями, Android.Dialer.7.origin заблокирует это действие, переведя пользователя на главный экран ОС. Таким образом, ручное удаление троянца становится практически невозможным.

Как отмечают в «Доктор Веб», ее продукты «Антивирус Dr.Web для Android» и «Антивирус Dr.Web для Android Light» детектируют эту угрозу и успешно удаляют троянца. Рекомендуется использовать встроенную в антивирус функцию аварийной разблокировки устройства, после чего повторить процедуру сканирования и лечения.