Троянцы в прошивках Android-устройств
Как сообщила компания «Доктор Веб», ее вирусные аналитики выявили новых троянцев, внедренных в прошивки десятков моделей мобильных устройств под управлением ОС Android. Обнаруженные вредоносные приложения располагаются в системных каталогах и незаметно для пользователей загружают и устанавливают программы.
Один из этих троянцев, получивший имя Android.DownLoader.473.origin, находится в прошивках моделей Android-устройств, работающих на аппаратной платформе MTK. На момент публикации материала он был найден на 26 моделях смартфонов. Однако количество устройств, инфицированных этим троянцем, может оказаться гораздо больше.
Android.DownLoader.473.origin представляет собой троянца-загрузчика, который начинает работу при каждом включении зараженного устройства. Программа отслеживает активность Wi-Fi-модуля и после обнаружения сетевого подключения соединяется с управляющим сервером, откуда получает конфигурационный файл с заданием. В нем содержится информация о приложении, которое троянцу необходимо скачать. После загрузки указанной программы Android.DownLoader.473.origin незаметно ее устанавливает.
Фактически по команде злоумышленников троянец способен скачивать на зараженное устройство любое ПО, как безобидные, так и нежелательные или вредоносные программы. Например, Android.DownLoader.473.origin активно распространяет рекламное приложение H5GameCenter, которое было добавлено в вирусную базу Dr.Web как Adware.AdBox.1.origin. После установки оно показывает поверх всех работающих программ небольшое изображение коробки, которое невозможно убрать с экрана. Оно представляет собой ярлык, при нажатии на который Adware.AdBox.1.origin открывает встроенный в нее каталог ПО. Кроме того, программа показывает рекламные баннеры.
Другой троянец, обнаруженный в прошивках ряда Android-устройств, Android.Sprovider.7, встроен в приложение Rambla, которое предоставляет доступ к одноименному каталогу ПО для ОС Android. Основной его функционал сосредоточен в отдельном программном модуле (детектируется Dr.Web как Android.Sprovider.12.origin), который в зашифрованном виде хранится в ресурсах основного приложения. Каждый раз, когда пользователь выводит устройство из режима блокировки экрана, троянец проверяет, работает ли вспомогательный компонент. Если он неактивен, Android.Sprovider.7 извлекает его из своих ресурсов и запускает.
Модуль Android.Sprovider.12.origin обладает широким набором функций. Например, он может скачать apk-файл и попытаться установить его стандартным способом с запросом разрешения у пользователя, запустить установленное приложение, открыть в браузере заданную ссылку, позвонить по определенному номеру с помощью стандартного системного приложения, запустить стандартное системное телефонное приложение, в котором уже будет набран определенный номер. Он также может показывать рекламу поверх всех приложений или в панели уведомлений, создать ярлык на домашнем экране либо обновить основной вредоносный модуль.
Вероятнее всего, считают аналитики, программы Android.DownLoader.473.origin и Android.Sprovider.7 попали в прошивки мобильных устройств по вине недобросовестных субподрядчиков, которые участвовали в создании образов ОС и решили заработать за счет пользователей (как известно, за накрутку установок приложений, искусственное повышение их рейтингов, распространение рекламного ПО можно получить прибыль).
Компания «Доктор Веб» уведомила производителей зараженных смартфонов о проблеме. Владельцам таких устройств рекомендуется обратиться в службу поддержки производителя, чтобы получить обновление исправленного системного ПО, как только оно будет готово.