Троянец в образе ОС Android
По сообщению компании «Доктор Веб», ее специалисты обнаружили нового троянца, встроенного непосредственно в образ ОС целого ряда мобильных устройств под управлением Android. Вредоносное приложение получило имя Android.Becu.1.origin; оно способно загружать, устанавливать и удалять программы без ведома пользователей, а также блокировать поступающие с определенных номеров sms.
Троянец представляет собой комплексную угрозу, состоящую из нескольких взаимодействующих друг с другом модулей. Основной его компонент – apk-файл с именем Cube_CJIA01.apk, который располагается непосредственно в системном каталоге и имеет цифровую подпись самой ОС, что дает ему неограниченные полномочия и возможность выполнять все действия без вмешательства пользователя. Расположение этого приложения непосредственно в прошивке мобильного устройства значительно затрудняет его удаление стандартными методами.
Android.Becu.1.origin начинает свою вредоносную деятельность при каждом включении зараженного устройства, а также при получении его владельцем новых sms. Как только наступает одно из этих событий, троянец в соответствии со своим конфигурационным файлом загружает с удаленного сервера блок зашифрованных данных, который после расшифровки сохраняется под именем uac.apk в рабочем каталоге троянца и запускается в оперативной памяти при помощи класса DexClassLoader. Вслед за этим троянец запускает второй компонент uac.dex, хранящийся в том же рабочем каталоге. Оба этих модуля отвечают за основной вредоносный функционал этой угрозы – возможность скрытно загружать, устанавливать и удалять те или иные приложения по команде управляющего сервера.
После активации компонентов вредоносная программа проверяет наличие в системе своего третьего модуля, находящегося в пакете com.zgs.ga.pack, а в случае отсутствия загружает и устанавливает его на устройство. Этот модуль регистрирует зараженный гаджет на сервере злоумышленников, предоставляя им информацию об активных копиях Android.Becu.1.origin. Если один или несколько модулей троянца будут удалены пользователем, основной файл вредоносного приложения восстановит их, повторив процесс установки.
На данный момент специалистам «Доктор Веб» известно о присутствии данной угрозы на целом ряде моделей популярных Android-устройств бюджетного ценового сегмента. Среди них – UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000, ALPS H9500 и многие другие. Наиболее вероятно, что заражение этих устройств произошло в результате распространения в Интернете модифицированных злоумышленниками файлов-прошивок, которые загружают сами пользователи, а также установка таких образов ОС недобросовестными поставщиками смартфонов и планшетов.
Поскольку Android.Becu.1.origin расположен непосредственно внутри ОС, его полное удаление стандартными методами проблематично. Наиболее простым и безопасным способом борьбы с троянцем является его «заморозка» в меню управления приложениями. Для этого необходимо найти основной файл троянца в списке установленных программ (пакет com.cube.activity) и нажать на кнопку «Отключить». В результате приложение станет неактивным. После этого потребуется выполнить удаление вспомогательных компонентов троянца (пакеты com.system.outapi и com.zgs.ga.pack), которые он мог установить ранее.
Более радикальными способами противодействия Android.Becu.1.origin являются ручное удаление его основного компонента при наличии root-доступа, а также установка заведомо «чистого» образа ОС, что повлечет за собой потерю всей сохраненной информации. Обе эти процедуры сопряжены с опасностью нарушения работоспособности устройства, поэтому должны сопровождаться созданием резервной копии важных данных.
Антивирусные продукты Dr.Web для Android и Dr.Web для Android Light детектируют данную Android-угрозу.